注目github_advisory2分
Avo: アソシエーション紐付けエンドポイントに認可欠落・権限昇格の危険
30秒で把握
- 1Avo の POST アソシエーション endpoint に認可欠落・CVE-2026-55518
- 2低権限ユーザーが crafted POST でロール/テナント関連を不正紐付け可能
- 3create アクションへの authorize_attach_action 追加またはパッチ適用が必要
要約
Ruby製管理UI「Avo」のアソシエーション紐付けワークフローに、認可チェック欠落の脆弱性(CVE-2026-55518)が確認された。フォーム表示用の `GET /resources/:resource/:id/:related/new` では `attach_<association>?` による認可が走るが、実際にDBを書き換える `POST /resources/:resource/:id/:related` にはその認可チェックが存在しない。低権限の認証済みユーザーがcraftedなPOSTリクエストを直接送ることで、UIで非表示・無効化されたアタッチ操作を回避できる。チーム・テナント・ロール・メンバーシップ等の権限ベアな関連を扱うアプリでは、権限昇格やクロステナントのデータ漏洩につながる。
あなたへの影響
Avoを管理画面に組み込んでいるRails環境では、`AssociationsController#create`に`authorize_attach_action`が呼ばれていないことを即時確認し、パッチ適用またはbeforeアクションの手動追加を優先対応すること。
推奨:特にマルチテナント構成やロール管理にAvoのアソシエーション機能を使うチームは今日中に影響範囲を評価すべき。