CVE-2026-42205

Nome do Software Vulnerável e Versões Afetadas Avo versões anteriores a 3.31.2

Description Um problema de controle de acesso quebrado existe no ActionsController devido a uma lógica de busca de ação insegura na função action class(). Um usuário autenticado pode executar qualquer classe de Ação que derive de Avo::BaseAction em qualquer recurso, independentemente de a ação estar registrada para esse recurso específico. Isso ocorre porque o controlador identifica a classe de ação baseando-se apenas no parâmetro action id, sem verificar se a ação é permitida para o contexto do recurso. Isso pode levar à escalada de privilégios e manipulação não autorizada de dados, como a execução de ações administrativas por meio de endpoints de recursos não relacionados.

Recommendations Atualizar para a versão 3.31.2.