CVE-2026-48592

Nome do Software Vulnerável e Versões Afetadas oban web versões 2.12.0 até 2.12.4

Descrição Uma falha de autorização no módulo Elixir.Oban.Web.Jobs.DetailComponent permite a substituição não autorizada do trabalhador de um job. O manipulador handle event("save-job", ...) não realiza verificações de autorização, ao contrário de outros manipuladores como cancel, delete e retry, que verificam privilégios via can?/2. Um usuário autenticado com acesso :read only pode enviar um evento de WebSocket LiveView save-job forjado para sobrescrever o campo de trabalhador de um job com qualquer outro módulo Oban.Worker existente na aplicação. Consequentemente, na próxima tentativa de execução, o Oban invocará a função perform/1 no módulo escolhido pelo atacante em vez do pretendido. Isso ocorre quando o painel Oban.Web está implantado e acessível a usuários com privilégios limitados de gerenciamento de jobs.

Recomendações Atualizar para a versão 2.12.5.