漏洞信息详情
Ruby on Rails rails-HTML-sanitizer gem 跨站脚本漏洞
- CNNVD编号:CNNVD-201602-068
- 危害等级: 中危
- CVE编号: CVE-2015-7580
- 漏洞类型: 跨站脚本
- 发布时间: 2016-01-25
- 威胁类型: 远程
- 更新时间: 2019-08-09
- 厂 商: rubyonrails
- 漏洞来源: Arnaud Germis, Na...
漏洞简介
Ruby on Rails(Rails)是Rails核心团队开发维护的一套基于Ruby语言的开源Web应用框架,它是由大卫-海纳梅尔-韩森从美国37signals公司的项目管理工具Basecamp里分离出来的。rails-HTML-sanitizer gem是其中的一个HTML代码清理包。
Ruby on Rails的rails-HTML-sanitizer gem的lib/rails/HTML/scrubbers.rb文件中存在跨站脚本漏洞。远程攻击者可借助特制的CDATA节点利用该漏洞注入任意Web脚本或HTML。以下产品及版本受到影响:Ruby on Rails 4.2.x版本和5.x版本,rails-HTML-sanitizer gem 1.0.3之前版本。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://weblog.rubyonrails.org/2016/1/25/Rails-5-0-0-beta1-1-4-2-5-1-4-1-14-1-3-2-22-1-and-rails-HTML-sanitizer-1-0-3-have-been-released/
参考网址
来源:SUSE
链接:http://lists.opensuse.org/opensuse-security-announce/2016-02/msg00014.HTML
来源:MLIST
链接:https://groups.Google.com/forum/message/raw?msg=rubyonrails-security/uh--W4TDwmI/m_CVZtdbFQAJ
来源:SUSE
链接:http://lists.opensuse.org/opensuse-security-announce/2016-02/msg00024.HTML
来源:CONFIRM
链接:https://github.com/rails/rails-HTML-sanitizer/commit/63903b0eaa6d2a4e1c91bc86008256c4c8335e78
来源:SUSE
链接:http://lists.opensuse.org/opensuse-security-announce/2016-04/msg00053.HTML
来源:SECTRACK
链接:http://www.securitytracker.com/id/1034816
来源:MLIST
链接:http://www.openwall.com/lists/oss-security/2016/01/25/15
受影响实体
- Rubyonrails HTML_sanitizer:1.0.2:~~~Ruby~~
补丁
- Ruby on Rails rails-HTML-sanitizer gem 跨站脚本漏洞的修复措施
评论