CVE-2026-55518

Nome do Software Vulnerável e Versões Afetadas Avo (versões afetadas não especificadas)

Description Uma falha de autorização ausente no fluxo de anexo de associações permite que usuários autenticados de baixo privilégio ignorem os controles de acesso. Enquanto a interface do usuário e o endpoint 'GET /resources/:resource/:id/:related/new' verificam a autorização através da checagem attach <association>?, o endpoint de gravação 'POST /resources/:resource/:id/:related' não realiza essa verificação antes de alterar a associação. Isso ocorre porque a função authorize attach action() está vinculada apenas à ação new e não à ação create dentro do Avo::AssociationsController.

Um invasor pode enviar uma requisição POST manipulada para anexar diretamente registros relacionados a um registro pai. Em ambientes onde as associações gerenciam equipes, locatários (tenants), funções, projetos ou associações, isso pode levar à escalada de privilégios e exposição de dados entre locatários.

Recommendations No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.