ГлавнаяБаза уязвимостей БДУ → BDU:2022-06004
6.4средняя

BDU:2022-06004 (CVE-2022-32209)

Уязвимость реализации конфигурации инструмента очистки HTML для приложений Rails Rails Html Sanitizer, позволяющая нарушителю проводить межсайтовые сценарные атаки
Опубликовано: 2022-09-30
Описание

Уязвимость реализации конфигурации инструмента очистки HTML для приложений Rails Rails Html Sanitizer связана с некорректным использованием элементов select и style при переопределении разрешенных тегов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, проводить межсайтовые сценарные атаки

Затрагиваемое ПО и версии
Fedora (35)РЕД ОС (7.3)Fedora (36)Rails Html Sanitizer (до 1.4.3)Fedora (37)ОСОН ОСнова Оnyx (до 2.7)ОСОН ОСнова Оnyx (до 2.9)
Способ устранения

Использование рекомендаций:
Для Rails Html Sanitizer :
https://rubygems.org/gems/rails-html-sanitizer
https://github.com/advisories/GHSA-pg8v-g4xq-hww9

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/AGRLWBEB3S5AU3D4TTROIS7O6QPHDTRH/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/NHDACMCLWE32BZZTSNWQPIFUAD5I6Q47/
https://koji.fedoraproject.org/koji/buildinfo?buildID=2042403
https://src.fedoraproject.org/rpms/rubygem-rails-html-sanitizer

Компенсирующие меры:
При невозможности обновления необходимо удалить элемент select или style из переопределенных разрешенных тегов.

Для ОСОН ОСнова Оnyx (версия 2.7):
Обновление программного обеспечения ruby-rails-html-sanitizer до версии 1.0.4-1+deb10u1

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения ruby-rails-html-sanitizer до версии 1.0.4-1+deb10u2

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Оценка CVSS
Балл6.4 — средняя опасность
Источники и патчи
https://hackerone.com/reports/1530898https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/AGRLWBEB3S5AU3D4TTROIS7O6QPHDTRH/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/NHDACMCLWE32BZZTSNWQPIFUAD5I6Q47/https://nvd.nist.gov/vuln/detail/CVE-2022-32209https://bugzilla.redhat.com/show_bug.cgi?id=2101882https://src.fedoraproject.org/rpms/rubygem-rails-html-sanitizerhttps://koji.fedoraproject.org/koji/buildinfo?buildID=2042403https://discuss.rubyonrails.org/t/cve-2022-32209-possible-xss-vulnerability-in-rails-sanitizer/80800
Проверьте безопасность своего сайта и почты → Полная проверка домена