CVE-2026-44836

Nome do Software Vulnerável e Versões Afetadas view component versões 3.0.0 até 4.8.x

Descrição A rota de visualização (preview) deriva o nome de um exemplo da URL e o invoca usando public send sem verificar se o método solicitado é um exemplo de visualização explicitamente definido. Isso permite que métodos públicos herdados em ViewComponent::Preview sejam acessíveis via rotas. Especificamente, a função render with template() pode ser acessada, a qual aceita os parâmetros template: e locals:. Esses valores podem ser fornecidos via parâmetros de requisição e passados ao Rails como render template:. Se as visualizações estiverem expostas, um invasor pode renderizar templates internos do Rails que não seriam acessíveis de outra forma, expondo potencialmente segredos, configurações, dados de depuração ou parciais exclusivos de administradores.

Recomendações Atualize o view component para a versão 4.9.0. Como medida paliativa temporária, restrinja o acesso externo às rotas de visualização para minimizar o risco de exploração.