CVE-2024-49756

Nome do software vulnerável e versões afetadas:

AshPostgres, versões 2.0.0 a 2.4.9

Descrição:

O problema está relacionado à omissão de políticas em ações de atualização sob condições específicas, permitindo que efeitos colaterais sejam acionados quando não deveriam. Isso ocorre apenas em ações de atualização “vazias”, sem campos a serem alterados. Para estar vulnerável, um usuário afetado deve ter uma ação de atualização que atenda a determinados critérios, incluindo estar em um recurso sem atributos contendo um “update default”, ser executável atomicamente, não ter require atomic? false, ter pelo menos um autorizador e ter pelo menos uma change. O problema não permite a leitura de novos dados aos quais o usuário não deveria ter acesso, apenas aciona um efeito colateral que o usuário não deveria ter sido capaz de acionar.

Recomendações:

Para resolver o problema nas versões 2.0.0 a 2.4.9, atualize para a versão 2.4.10 do ash postgres.

Como solução temporária, considere adicionar require atomic? false a qualquer ação de atualização potencialmente afetada.

Alternativamente, substitua qualquer uso de Ash.update por Ash.bulk update para uma ação afetada.

Outra opção é adicionar um carimbo de data/hora de atualização à ação.

Verifique se nenhuma das ações está vulnerável usando o script fornecido.