Ruby on Rails 表单帮助程序Unicode字符串处理跨站脚本漏洞

admin

0
文章

0
评论

2022-07-23 15:32:07 CNNVD漏洞来源：ZONE.CI 全球网 0 阅读模式

漏洞信息详情

Ruby on Rails 表单帮助程序Unicode字符串处理跨站脚本漏洞

CNNVD编号：CNNVD-200909-095
危害等级：中危
CVE编号： CVE-2009-3009
漏洞类型：跨站脚本
发布时间： 2009-09-08
威胁类型：远程
更新时间： 2019-08-09
厂商： rubyonrails
漏洞来源： Brian Mastenbrook

漏洞简介

Ruby on Rails是Rails团队的一套基于Ruby语言的开源Web应用框架。

Ruby on Rails 2.2.3之前的2.x版本和2.3.4之前的2.3.x版本中的表单帮助程序中的转义代码存在跨站脚本漏洞，远程攻击者可以通过向其提交恶意的Unicode字符串绕过转义检查，在用户浏览器会话中注入并执行任意HTML代码。

漏洞公告

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

http://weblog.rubyonrails.org/assets/2009/9/4/2-0-CVE-2009-3009.patch

http://weblog.rubyonrails.org/assets/2009/9/4/2-1-CVE-2009-3009.patch

http://weblog.rubyonrails.org/assets/2009/9/4/2-2-CVE-2009-3009.patch

http://weblog.rubyonrails.org/assets/2009/9/4/2-3-CVE-2009-3009.patch

参考网址

来源:CMS.zone.ci/e/tags/htag.php?tag=Apple target=_blank class=infotextkey>Apple

链接:http://lists.CMS.zone.ci/e/tags/htag.php?tag=Apple target=_blank class=infotextkey>Apple.com/archives/security-announce/2010//Mar/msg00001.HTML

来源:MLIST

链接:http://groups.Google.com/group/rubyonrails-security/msg/7f57cd7794e1d1b4?dmode=source

来源:CONFIRM

链接:http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=545063

来源:DEBIAN

链接:http://www.debian.org/security/2009/dsa-1887

来源:CONFIRM

链接:http://weblog.rubyonrails.org/2009/9/4/xss-vulnerability-in-ruby-on-rails

来源:SECUNIA

链接:http://secunia.com/advisories/36600

来源:BID

链接:https://www.securityfocus.com/bid/36278

来源:XF

链接:https://exchange.xforce.ibmcloud.com/vulnerabilities/53036

来源:SUSE

链接:http://lists.opensuse.org/opensuse-security-announce/2009-10/msg00004.HTML

来源:OSVDB

链接:http://www.osvdb.org/57666

来源:SECUNIA

链接:http://secunia.com/advisories/36717

来源:VUPEN

链接:http://www.vupen.com/english/advisories/2009/2544

来源:SECTRACK

链接:http://securitytracker.com/id?1022824

来源:CONFIRM

链接:http://support.CMS.zone.ci/e/tags/htag.php?tag=Apple target=_blank class=infotextkey>Apple.com/kb/HT4077

受影响实体

Rubyonrails Ruby_on_rails:2.0.1
Rubyonrails Ruby_on_rails:2.0.0
Rubyonrails Ruby_on_rails:2.0.0:Rc1
Rubyonrails Ruby_on_rails:2.1.1
Rubyonrails Ruby_on_rails:2.1.2

补丁

Ruby on Rails 表单帮助程序Unicode字符串处理跨站脚本漏洞的修复措施

特别声明

本站(ZONE.CI)所有文章仅供技术研究，若将其信息做其他用途，由用户承担全部法律及连带责任，本站不承担任何法律及连带责任，请遵守中华人民共和国安全法.

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带

咨询加Q：999999999

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带

ZONE.CI 全球网安全领域涉猎者-乌云独行地带

ZONE.CI 全球网

Plugins

WordPress

Web前端

设计资源

Ruby on Rails 表单帮助程序Unicode字符串处理跨站脚本漏洞

漏洞信息详情

Ruby on Rails 表单帮助程序Unicode字符串处理跨站脚本漏洞

漏洞简介

漏洞公告

参考网址

受影响实体

补丁

Pidgin Libpurple recv 拒绝服务漏洞

Ruby on Rails 表单帮助程序Unicode字符串处理跨站脚本漏洞

Pidgin Libpurple SLP 拒绝服务漏洞

Pidgin Libpurple XMPP 拒绝服务漏洞

Ruby On Rails 信息泄露漏洞

IBM Lotus Domino nserver.exe未明安全漏洞

Zope Object数据库ZEO服务器未明漏洞

ibm tivoli_directory_server 缓冲区溢出漏洞

Adobe RoboHelp Server不受限文件上传漏洞

uiga church_portal SQL注入漏洞

ZONE.CI 全球网