Множественные уязвимости в Ruby on Rails

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.

1. Уязвимость существует из-за ошибки при обработке ключей в Active Record. Удаленный пользователь может вызвать отказ в обслуживании.

2. Уязвимость существует из-за недостаточной обработки входных данных в методе "sanitize_css" в Action Pack. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

3. Уязвимость существует из-за недостаточной обработки входных XML-данных в ActiveSupport::XmlMini_JDOM в ActiveSupport. Удаленный пользователь может раскрыть содержание определенных локальных фалов или вызвать отказ в обслуживании.

Примечание: Для успешной эксплуатации уязвимости необходимо, чтобы приложение JRuby использовало JDOM backend.

4. Уязвимость существует из-за недостаточной обработки легитимных протоколов в модуле HTML. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

URL производителя: http://rubyonrails.org/

Решение: Установите последнюю версию 3.2.13, 3.1.12 или 2.3.18 с сайта производителя.