漏洞信息详情

Ruby on Rails mail_to helper多个跨站脚本攻击漏洞

• CNNVD编号：CNNVD-201102-213
• 危害等级： 中危
  
• CVE编号： CVE-2011-0446
• 漏洞类型： 跨站脚本
• 发布时间： 2011-02-14
• 威胁类型： 远程
• 更新时间： 2019-08-09
• 厂        商： rubyonrails
• 漏洞来源： Brendan Coles, Git...

漏洞简介

Ruby on Rails（Rails）是Rails核心团队开发维护的一套基于Ruby语言的开源Web应用框架，它是由大卫-海纳梅尔-韩森从美国37signals公司的项目管理工具Basecamp里分离出来的。

当使用Javascript编码时，Ruby on Rails 2.3.11之前版本及3.0.4之前的3.x版本中的mail_to helper中存在多个跨站脚本攻击漏洞。远程攻击者可以借助特制(1)name和(2)email值注入任意web脚本或HTML。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://rubyonrails.org/download

参考网址

来源:FEDORA

链接:http://lists.fedoraproject.org/pipermail/package-announce/2011-March/055074.HTML

来源:SECTRACK

链接:http://www.securitytracker.com/id?1025064

来源:VUPEN

链接:http://www.vupen.com/english/advisories/2011/0587

来源:VUPEN

链接:http://www.vupen.com/english/advisories/2011/0877

来源:FEDORA

链接:http://lists.fedoraproject.org/pipermail/package-announce/2011-March/055088.HTML

来源:SECUNIA

链接:http://secunia.com/advisories/43666

来源:DEBIAN

链接:http://www.debian.org/security/2011/dsa-2247

来源:BID

链接:https://www.securityfocus.com/bid/46291

来源:FEDORA

链接:http://lists.fedoraproject.org/pipermail/package-announce/2011-April/057650.HTML

来源:MLIST

链接:http://groups.Google.com/group/rubyonrails-security/msg/365b8a23b76a6b4a?dmode=source&output=gplain

来源:SECUNIA

链接:http://secunia.com/advisories/43274

受影响实体

• Rubyonrails Ruby_on_rails:3.0.2:Pre  
• Rubyonrails Ruby_on_rails:3.0.3  
• Rubyonrails Ruby_on_rails:3.0.4:Rc  
• Rubyonrails Ruby_on_rails:3.0.4:Rc1  
• Rubyonrails Ruby_on_rails:3.0.2  

补丁

• Ruby on Rails mail_to helper多个跨站脚本攻击漏洞的修复措施