CVE-2026-54497 in ViewComponent
요약
\~에 의해 VulDB • 2026. 07. 17.
view_component는 Ruby on Rails에서 재사용 가능하고 테스트 가능하며 캡슐화된 뷰 컴포넌트를 구축하기 위한 프레임워크입니다. 버전 4.0.0부터 4.12.0까지 ViewComponent::Base 인스턴스는 render_in 호출 간에 렌더링 범위(render-scoped) 객체를 유지합니다. 동일한 컴포넌트, 컬렉션 또는 스페이서(spacer) 컴포넌트 인스턴스가 요청, 사용자, 테넌트(thread-safe하지 않은 경우 스레드 등) 간에 재사용되면 이후의 렌더링에서 이전 렌더링의 stale한 헬퍼(helper), 컨트롤러, 요청(request), 뷰 흐름(view_flow), 포맷/변형(format/variant) 세부 정보 및 슬롯 자식 컨텍스트(slot child context)를 사용할 수 있습니다. 이로 인해 권한 인식(authorization-aware) 컴포넌트가 낮은 권한을 가진 사용자에게 높은 권한의 UI를 렌더링하거나, stale한 Host 헤더를 사용하여 링크를 생성하고, 슬롯/헬퍼 상태를 유출하며, 동시 렌더링 시 요청 컨텍스트가 혼합될 수 있습니다. 이 문제는 버전 4.12.0에서 해결되었습니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.