Уязвимость реализации конфигурации инструмента очистки HTML для приложений Rails Rails Html Sanitizer связана с некорректным использованием элементов select и style при переопределении разрешенных тегов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, проводить межсайтовые сценарные атаки
Использование рекомендаций:
Для Rails Html Sanitizer :
https://rubygems.org/gems/rails-html-sanitizer
https://github.com/advisories/GHSA-pg8v-g4xq-hww9
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/AGRLWBEB3S5AU3D4TTROIS7O6QPHDTRH/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/NHDACMCLWE32BZZTSNWQPIFUAD5I6Q47/
https://koji.fedoraproject.org/koji/buildinfo?buildID=2042403
https://src.fedoraproject.org/rpms/rubygem-rails-html-sanitizer
Компенсирующие меры:
При невозможности обновления необходимо удалить элемент select или style из переопределенных разрешенных тегов.
Для ОСОН ОСнова Оnyx (версия 2.7):
Обновление программного обеспечения ruby-rails-html-sanitizer до версии 1.0.4-1+deb10u1
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения ruby-rails-html-sanitizer до версии 1.0.4-1+deb10u2
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
| Балл | 6.4 — средняя опасность |