Vulnerabilidad en AshPostgres (CVE-2024-49756)

AshPostgres es la capa de datos PostgreSQL para Ash Framework. A partir de la versión 2.0.0 y antes de la versión 2.4.10, en ciertas situaciones muy específicas, era posible omitir las políticas de una acción de actualización. Esto solo ocurría en acciones de actualización "vacías" (sin campos de cambio) y permitía que se ejecutaran sus ganchos (efectos secundarios) cuando no deberían haberse realizado. Tenga en cuenta que esto no permite leer datos nuevos a los que el usuario no debería haber tenido acceso, solo activa un efecto secundario que un usuario no debería haber podido activar. Para ser vulnerable, un usuario afectado debe tener una acción de actualización que se encuentre en un recurso sin atributos que contengan un "valor predeterminado de actualización" (por ejemplo, marca de tiempo update_at); se puede realizar de forma atómica; no tiene `require_atomic? false`; tiene al menos un autorizador (normalmente `Ash.Policy.Authorizer`); y tiene al menos un `change` (en el bloque `changes` del recurso o en la acción misma). Aquí es donde se realizarían los efectos secundarios cuando no deberían haberse realizado. Este problema se ha corregido en `2.4.10` de `ash_postgres`. Hay varios workarounds disponibles. Los usuarios potencialmente afectados pueden determinar que ninguna de sus acciones es vulnerable utilizando un script que los fabricantes proporcionan en el Aviso de seguridad de GitHub, agregar `require_atomic? false` a cualquier acción de actualización potencialmente afectada, reemplazar cualquier uso de `Ash.update` con `Ash.bulk_update` para una acción afectada y/o agregar una marca de tiempo de actualización a su acción.