CVE-2026-48592 in oban_web情報

要約

〜によって VulDB • 2026年05月27日

oban-bg oban_web ('Elixir.Oban.Web.Jobs.DetailComponent' モジュール) における認証欠如の脆弱性により、不正なジョブワーカーの置換が可能になる。

'Elixir.Oban.Web.Jobs.DetailComponent' の handle_event("save-job", ...) ハンドラは、呼び出し元の権限を can?/2 を通じて検証する兄弟関係の cancel、delete、retry ハンドラとは異なり、認証チェックを実行しない。:read_only アクセス権を持つ認証済みユーザーは、偽造された save-job LiveView WebSocket イベントを送信し、ジョブの worker フィールドをアプリケーション内の他の既存の Oban.Worker モジュールに上書きできる。ジョブの次の実行試行時、Oban は意図されたモジュールではなく、攻撃者が選択したモジュールに対して perform/1 を呼び出す。

この問題は、2.12.0 から 2.12.5 未満の oban_web に影響する。

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

責任者

EEF

予約する

2026年05月22日

公開

2026年05月27日

モデレーション

承諾済み

エントリ

VDB-365825

CPE

準備完了

CWE

CWE-862 (確認済み)

CVSS

6.3 (VulDB)

EPSS

0.00060

KEV

いいえ

アクティビティ

低い

ソース

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-48592
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-48592
CVE Details	https://www.cvedetails.com/cve/CVE-2026-48592/

◂ 前概要次 ▸

Want to stay up to date on a daily basis?

Enable the mail alert feature now!