Rapidfsub

Nome do software vulnerável e versões afetadas: AshPostgres, versões 2.0.0 a 2.4.9 Descrição: O problema está relacionado à omissão de políticas em ações de atualização sob condições específicas, permitindo que efeitos colaterais sejam acionados quando não deveriam. Isso ocorre apenas em ações de atualização “vazias”, sem campos a serem alterados. Para estar vulnerável, um usuário afetado deve ter uma ação de atualização que atenda a determinados critérios, incluindo estar em um recurso sem atributos contendo um “update default”, ser executável atomicamente, não ter `require atomic? false`, ter pelo menos um autorizador e ter pelo menos uma `change`. O problema não permite a leitura de novos dados aos quais o usuário não deveria ter acesso, apenas aciona um efeito colateral que o usuário não deveria ter sido capaz de acionar. Recomendações: Para resolver o problema nas versões 2.0.0 a 2.4.9, atualize para a versão 2.4.10 do ash postgres. Como solução temporária, considere adicionar `require atomic? false` a qualquer ação de atualização potencialmente afetada. Alternativamente, substitua qualquer uso de `Ash.update` por `Ash.bulk update` para uma ação afetada. Outra opção é adicionar um carimbo de data/hora de atualização à ação. Verifique se nenhuma das ações está vulnerável usando o script fornecido.