Parker Selbert

**Nome do Software Vulnerável e Versões Afetadas** oban web versões 2.12.0 até 2.12.4 **Descrição** Uma falha de autorização no módulo `Elixir.Oban.Web.Jobs.DetailComponent` permite a substituição não autorizada do trabalhador de um job. O manipulador `handle event("save-job", ...)` não realiza verificações de autorização, ao contrário de outros manipuladores como cancel, delete e retry, que verificam privilégios via `can?/2`. Um usuário autenticado com acesso `:read only` pode enviar um evento de WebSocket LiveView `save-job` forjado para sobrescrever o campo de trabalhador de um job com qualquer outro módulo `Oban.Worker` existente na aplicação. Consequentemente, na próxima tentativa de execução, o Oban invocará a função `perform/1` no módulo escolhido pelo atacante em vez do pretendido. Isso ocorre quando o painel Oban.Web está implantado e acessível a usuários com privilégios limitados de gerenciamento de jobs. **Recomendações** Atualizar para a versão 2.12.5.