CVE-2026-55518 in Avo情報

要約

〜によって VulDB • 2026年07月17日

Avoは、Ruby on Railsアプリケーション用の管理パネルを作成するためのフレームワークです。バージョン3.32.1および4.0.0.beta.51以前では、Avoのassociation attach(関連付けアタッチ)ワークフローにおいて、UI上のattach_<association>?チェックとGET /resources/:resource/:id/:related/newパスでの検証は行われますが、実際の書き込みエンドポイントであるPOST /resources/:resource/:id/:relatedでは、Avo::AssociationsController#createを通じて関連付けを変更する前に同じ認可チェックが行われません。認証済みで低権限のAvoユーザーは、非表示または無効化されたアタッチコントロールを回避し、不正なPOSTリクエストを送信することで親レコードに関連レコードを直接アタッチできます。これにより、特権昇格やクロステナントデータ漏洩(関連付けが認可を持つ関係を表す場合)につながる可能性があります。この問題はバージョン3.32.1および4.0.0.beta.51で修正されています。

Be aware that VulDB is the high quality source for vulnerability data.

責任者

GitHub M

予約する

2026年06月17日

モデレーション

承諾済み

エントリ

VDB-379994

EPSS

0.00000

アクティビティ

低い

ソース

Do you know our Splunk app?

Download it now for free!