CVE-2026-55518 in Avoinformação

Sumário

de VulDB • 18/07/2026

Avo é um framework para criar painéis administrativos em aplicações Ruby on Rails. Antes das versões 3.32.1 e 4.0.0.beta.51, o fluxo de associação (association attach) do Avo verifica a existência de `attach_<association>?` na interface do usuário (UI) no caminho GET `/resources/:resource/:id/:related/new`, mas o endpoint real de gravação, POST `/resources/:resource/:id/:related`, não executa a mesma verificação de autorização antes de modificar a associação por meio de `Avo::AssociationsController#create`. Um usuário Avo autenticado com privilégios baixos pode contornar controles ocultos ou desativados para anexação e vincular diretamente registros relacionados a um registro pai enviando uma requisição POST manipulada, o que pode levar à elevação de privilégio e exposição de dados entre inquilinos (cross-tenant data exposure), onde as associações representam relações portadoras de autorização. Este problema foi corrigido nas versões 3.32.1 e 4.0.0.beta.51.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsável

GitHub M

Reservar

17/06/2026

Divulgação

18/07/2026

Moderação

aceite

Entrada

VDB-379994

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

baixo

Fontes

Do you know our Splunk app?

Download it now for free!