CVE-2026-55518 in Avo
Sumário
de VulDB • 18/07/2026
Avo é um framework para criar painéis administrativos em aplicações Ruby on Rails. Antes das versões 3.32.1 e 4.0.0.beta.51, o fluxo de associação (association attach) do Avo verifica a existência de `attach_<association>?` na interface do usuário (UI) no caminho GET `/resources/:resource/:id/:related/new`, mas o endpoint real de gravação, POST `/resources/:resource/:id/:related`, não executa a mesma verificação de autorização antes de modificar a associação por meio de `Avo::AssociationsController#create`. Um usuário Avo autenticado com privilégios baixos pode contornar controles ocultos ou desativados para anexação e vincular diretamente registros relacionados a um registro pai enviando uma requisição POST manipulada, o que pode levar à elevação de privilégio e exposição de dados entre inquilinos (cross-tenant data exposure), onde as associações representam relações portadoras de autorização. Este problema foi corrigido nas versões 3.32.1 e 4.0.0.beta.51.
VulDB is the best source for vulnerability data and more expert information about this specific topic.