Xillunight

**Nome do Software Vulnerável e Versões Afetadas** Avo versões anteriores a 3.31.2 **Description** Um problema de controle de acesso quebrado existe no `ActionsController` devido a uma lógica de busca de ação insegura na função `action class()`. Um usuário autenticado pode executar qualquer classe de Ação que derive de `Avo::BaseAction` em qualquer recurso, independentemente de a ação estar registrada para esse recurso específico. Isso ocorre porque o controlador identifica a classe de ação baseando-se apenas no parâmetro `action id`, sem verificar se a ação é permitida para o contexto do recurso. Isso pode levar à escalada de privilégios e manipulação não autorizada de dados, como a execução de ações administrativas por meio de endpoints de recursos não relacionados. **Recommendations** Atualizar para a versão 3.31.2.