CVE-2026-44836 in view_componentИнформация

Сводка

по VulDB • 26.05.2026

view_component — это фреймворк для создания переиспользуемых, тестируемых и инкапсулированных компонентов представления в Ruby on Rails. В версиях от 3.0.0 до 4.9.0 маршрут предварительного просмотра (preview route) извлекает имя примера из URL-адреса и вызывает его с помощью метода public_send. Код не проверяет, является ли запрошенный метод одним из примеров предварительного просмотра, явно определенных классом Preview. В результате общедоступные методы, унаследованные от ViewComponent::Preview, становятся доступными через маршруты. Наиболее важным из них является render_with_template, который принимает параметры template: и locals:. Эти значения могут поступать из параметров запроса и впоследствии передаются в Rails как шаблон для рендеринга (render template:). Если предварительные просмотры (previews) доступны, злоумышленник может отрендерить внутренние шаблоны Rails, которые в противном случае не доступны через маршрутизацию. Эта уязвимость исправлена в версии 4.9.0.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

GitHub M

Резервировать

07.05.2026

Раскрытие

27.05.2026

Модерация

принято

Вход

VDB-365813

CPE

готов

CWE

CWE-749 (Подтверждённый)

CVSS

6.5 (CNA)

EPSS

0.00013

KEV

Нет

Деятельности

Очень низкий

Источники

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-44836
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-44836
CVE Details	https://www.cvedetails.com/cve/CVE-2026-44836/

◂ Предыдущий Обзор Далее ▸

Do you want to use VulDB in your project?

Use the official API to access entries easily!