Ruby on Rails “auto_link” sérülékenység – Nemzeti Kiberbiztonsági Intézet

NBSZ-NKI website

Ruby on Rails “auto_link” sérülékenység

2011. április 6. 08:00

CH azonosító

CH-4658

Angol cím

Ruby on Rails "auto_link" Vulnerability

Felfedezés dátuma

2011.04.05.

Súlyosság

Érintett rendszerek

Rails Core Team
Ruby on Rails

Érintett verziók

Ruby on Rails 3.0 - 3.0.5

Összefoglaló

A Ruby on Rails olyan sérülékenysége vált ismertté, amelyet a támadók kihasználhatnak cross-site scripting és script beszúrásos támadások indítására.

Leírás

A sérülékenység oka, hogy az “auto_link” a kimenetet helytelenül biztonságosnak jelöli meg.
Ez bizonyos bemenetek nem megfelelő ellenőrzéséhez vezethet, mielőtt a felhasználnák vagy visszakerülne a felhasználóhoz, ami kihasználható tetszőleges HTML és script kód futtatására az érintett oldal felhasználói böngésző munkamenetében.

Megoldás

Frissítsen a 3.0.6. verzióra vagy alkalmazza a javításokat!

Támadás típusa

Input manipulation (Bemenet módosítás)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: weblog.rubyonrails.org
Egyéb referencia: groups.google.com
SECUNIA 44026

Legfrissebb sérülékenységek

CVE-2025-54100 – PowerShell Remote Code Execution sérülékenység

CVE-2025-64671 – GitHub Copilot for Jetbrains Remote Code Execution sérülékenység

CVE-2025-62221 – Microsoft Windows Use After Free sérülékenység

CVE-2025-55754 – Apache Tomcat sérülékenysége

CVE-2025-42880 – SAP Solution Manager Code Injection sérülékenység

CVE-2025-42928 – SAP jConnect sérülékenység

CVE-2021-35211 – Serv-U Remote Memory Escape sérülékenysége

CVE-2025-66644 – Array Networks ArrayOS AG OS Command Injection sérülékenysége

CVE-2022-37055 – D-Link Routers Buffer Overflow sérülékenysége

CVE-2025-54988 – Apache Tika sérülékenysége

Tovább a sérülékenységekhez »

Ugrás a tetejére