CVE-2026-44836 in view_component
요약
\~에 의해 VulDB • 2026. 05. 30.
view_component는 Ruby on Rails에서 재사용 가능하고 테스트 가능하며 캡슐화된 뷰 컴포넌트를 구축하기 위한 프레임워크입니다. 3.0.0부터 4.9.0까지의 버전에서 미리보기 경로는 URL에서 예제 이름을 파싱하여 public_send를 통해 이를 호출합니다. 해당 코드는 요청된 메서드가 미리보기 클래스에 의해 명시적으로 정의된 미리보기 예제 중 하나인지 검증하지 않습니다. 그 결과, ViewComponent::Preview의 상속된 공개 메서드들이 경로 접근이 가능해집니다. 그중 가장 중요한 것은 template:과 locals:를 허용하는 render_with_template입니다. 이러한 값들은 요청 파라미터에서 비롯되어 나중에 Rails의 render template:으로 전달됩니다. 미리보기가 노출된 경우, 공격자는 일반적으로 경로 지정이 불가능한 Rails 내부 템플릿을 렌더링할 수 있습니다. 이 취약점은 4.9.0에서 수정되었습니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.