漏洞起因
输入验证错误
危险等级
低
影响系统
Ruby on Rails 2.3.x
Ruby on Rails 3.0.x
不受影响系统
危害
远程攻击者可以利用漏洞进行跨站脚本攻击。
攻击所需条件
攻击者必须访问Ruby on Rails应用。
漏洞信息
Ruby on Rails是一款Web应用程序框架,构建在Ruby语言之上。
由于某些方法如"link_to", "sub!"没有正确遵循用于字符串的"HTML safe"标记的规则,可导致不正确过滤用于返回给用户的输入。这可导致在目标用户浏览器上执行任意HTML和脚本代码。
测试方法
厂商解决方案
Ruby on Rails 3.0.8和2.3.12已修复此漏洞,建议用户下载使用:
http://www.rubyonrails.com/
漏洞提供者
Bruno Michel of LinuxFr.org; Brett Valantine
0 条评论。