CH azonosító
CH-4658Angol cím
Ruby on Rails "auto_link" VulnerabilityFelfedezés dátuma
2011.04.05.Súlyosság
AlacsonyÖsszefoglaló
A Ruby on Rails olyan sérülékenysége vált ismertté, amelyet a támadók kihasználhatnak cross-site scripting és script beszúrásos támadások indítására.
Leírás
A sérülékenység oka, hogy az „auto_link” a kimenetet helytelenül biztonságosnak jelöli meg.
Ez bizonyos bemenetek nem megfelelő ellenőrzéséhez vezethet, mielőtt a felhasználnák vagy visszakerülne a felhasználóhoz, ami kihasználható tetszőleges HTML és script kód futtatására az érintett oldal felhasználói böngésző munkamenetében.
Megoldás
Frissítsen a 3.0.6. verzióra vagy alkalmazza a javításokat!
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: weblog.rubyonrails.org
Egyéb referencia: groups.google.com
SECUNIA 44026