Rails 跨站脚本漏洞

漏洞信息详情

Rails 跨站脚本漏洞

• CNNVD编号：CNNVD-201111-455
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2011-4319
  
• 漏洞类型：
  
  
  跨站脚本
  
• 发布时间：
  
  2011-11-29
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2021-07-12
  
• 厂        商：
  
  rubyonrails
• 漏洞来源：

Rails是Rails团队的一套基于Ruby语言的开源Web应用框架。

基于Rails平台的Ruby中的i18n翻译助手类函数以及基于Rails 2.3.x平台的Ruby中的rails_xss插件中存在跨站脚本漏洞。远程攻击者可以借助与名称以\”html\”子字符串结尾的翻译有关的向量注入任意web脚本或者HTML。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://weblog.rubyonrails.org/2011/11/18/rails-3-1-2-has-been-released

来源:BID

链接:https://www.securityfocus.com/bid/50722

来源:SECTRACK

链接:http://www.securitytracker.com/id?1026342

来源:MLIST

链接:http://openwall.com/lists/oss-security/2011/11/18/8

来源:CONFIRM

链接:http://weblog.rubyonrails.org/2011/11/18/rails-3-0-11-has-been-released

来源:XF

链接:https://exchange.xforce.ibmcloud.com/vulnerabilities/71364

来源:CONFIRM

链接:http://groups.google.com/group/rubyonrails-security/browse_thread/thread/2b61d70fb73c7cc5?pli=1

来源:OSVDB

链接:http://osvdb.org/77199

来源:CONFIRM

链接:http://weblog.rubyonrails.org/2011/11/18/rails-3-1-2-has-been-released

来源:MLIST

链接:http://groups.google.com/group/rubyonrails-security/msg/c65c24fbc4b6dd82?dmode=source&output=gplain