漏洞信息详情
Ruby on Rails mail_to helper多个跨站脚本攻击漏洞
- CNNVD编号:CNNVD-201102-213
- 危害等级: 中危
- CVE编号: CVE-2011-0446
- 漏洞类型: 跨站脚本
- 发布时间: 2011-02-14
- 威胁类型: 远程
- 更新时间: 2019-08-09
- 厂 商: rubyonrails
- 漏洞来源: Brendan Coles, Git...
漏洞简介
Ruby on Rails(Rails)是Rails核心团队开发维护的一套基于Ruby语言的开源Web应用框架,它是由大卫-海纳梅尔-韩森从美国37signals公司的项目管理工具Basecamp里分离出来的。
当使用Javascript编码时,Ruby on Rails 2.3.11之前版本及3.0.4之前的3.x版本中的mail_to helper中存在多个跨站脚本攻击漏洞。远程攻击者可以借助特制(1)name和(2)email值注入任意web脚本或HTML。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://rubyonrails.org/download
参考网址
来源:FEDORA
链接:http://lists.fedoraproject.org/pipermail/package-announce/2011-March/055074.HTML
来源:SECTRACK
链接:http://www.securitytracker.com/id?1025064
来源:VUPEN
链接:http://www.vupen.com/english/advisories/2011/0587
来源:VUPEN
链接:http://www.vupen.com/english/advisories/2011/0877
来源:FEDORA
链接:http://lists.fedoraproject.org/pipermail/package-announce/2011-March/055088.HTML
来源:SECUNIA
链接:http://secunia.com/advisories/43666
来源:DEBIAN
链接:http://www.debian.org/security/2011/dsa-2247
来源:BID
链接:https://www.securityfocus.com/bid/46291
来源:FEDORA
链接:http://lists.fedoraproject.org/pipermail/package-announce/2011-April/057650.HTML
来源:MLIST
链接:http://groups.Google.com/group/rubyonrails-security/msg/365b8a23b76a6b4a?dmode=source&output=gplain
来源:SECUNIA
链接:http://secunia.com/advisories/43274
受影响实体
- Rubyonrails Ruby_on_rails:3.0.2:Pre
- Rubyonrails Ruby_on_rails:3.0.3
- Rubyonrails Ruby_on_rails:3.0.4:Rc
- Rubyonrails Ruby_on_rails:3.0.4:Rc1
- Rubyonrails Ruby_on_rails:3.0.2
补丁
- Ruby on Rails mail_to helper多个跨站脚本攻击漏洞的修复措施
评论