Vulnerabilidad en TurboBoost Commands (CVE-2024-28181)

turbo_boost-commands es un conjunto de comandos que le ayudarán a crear aplicaciones reactivas sólidas con Rails y Hotwire. TurboBoost Commands cuenta con protecciones existentes para garantizar que solo se puedan invocar métodos públicos en las clases Command; sin embargo, los controles existentes no son tan sólidos como deberían ser. Es posible que un atacante sofisticado invoque más métodos de los que deberían permitirse dependiendo del rigor de las comprobaciones de autorización que aplican las aplicaciones individuales. Poder llamar a algunos de estos métodos puede tener implicaciones de seguridad. Los comandos verifican que la clase debe ser un "Comando" y que el método solicitado esté definido como un método público; sin embargo, esto no es lo suficientemente sólido como para proteger contra toda ejecución de código no deseado. La librería debería hacer cumplir más estrictamente qué métodos se consideran seguros antes de permitir su ejecución. Este problema se solucionó en las versiones 0.1.3 y 0.2.2. Se recomienda a los usuarios que actualicen. Los usuarios que no puedan actualizar deben consultar el repositorio GHSA para obtener consejos sobre workaround.