Дата публикации: | 10.08.2012 |
Всего просмотров: | 1120 |
Опасность: | Низкая |
Наличие исправления: | Да |
Количество уязвимостей: | 3 |
CVSSv2 рейтинг: | 4.3 (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) 4.3 (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) 4.3 (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) |
CVE ID: |
CVE-2012-3463 CVE-2012-3464 CVE-2012-3465 |
Вектор эксплуатации: | Удаленная |
Воздействие: | Межсайтовый скриптинг |
CWE ID: | Нет данных |
Наличие эксплоита: | Нет данных |
Уязвимые продукты: |
Ruby on Rails 3.x
Ruby on Rails 3.1.x Ruby on Rails 3.2.x |
Уязвимые версии: Ruby on Rails версии до 3.0.17, возможно более ранние версии. Ruby on Rails версии до 3.1.8, возможно более ранние версии. Ruby on Rails версии до 3.2.8, возможно более ранние версии. Описание: 1. Уязвимость существует из-за недостаточной обработки входных данных в методе "strip_tags". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. 2. Уязвимость существует из-за недостаточной обработки входных данных в значении "prompt" в методе "select_tag". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. 3. Уязвимость существует из-за недостаточной обработки знаков кавычек в функционале HTML кода. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. URL производителя: http://rubyonrails.org/ Решение: Установите последнюю версию с сайта производителя. |
|
Ссылки: |
http://weblog.rubyonrails.org/2012/8/9/ann-rails-3-2-8-has-been-released/ https://groups.google.com/forum/?fromgroups#!topic/rubyonrails-security/FgVEtBajcTY https://groups.google.com/forum/?fromgroups#!topic/rubyonrails-security/fV3QUToSMSw https://groups.google.com/forum/?fromgroups#!topic/rubyonrails-security/kKGNeMrnmiY |