Уязвимость реализации конфигурации инструмента очистки HTML для приложений Rails Rails Html Sanitizer связана с внедрением контента, если разработчик приложения переопределил разрешенные теги "math" и "style" или "svg" и "style". Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, проводить межсайтовые сценарные атаки
Для Rails Html Sanitizer:
https://github.com/rails/rails-html-sanitizer/security/advisories/GHSA-9h9g-93gc-623h
https://github.com/flavorjones/loofah/blob/main/docs/2022-10-decision-on-cdata-nodes.md
https://github.com/rails/rails-html-sanitizer/commit/e6d52d3b6db99d07399498b1287997302d444a8d
https://github.com/rails/rails-html-sanitizer/commit/0713caf2ee23801cfb85e37065cf406368b20082
https://github.com/rails/rails-html-sanitizer/commit/68ccf7e1dbaa425cc4a8651d5f583e754ef5061c
https://github.com/rails/rails-html-sanitizer/commit/373fc6295918c4b0aad02111e869f4e0c6fc788b
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОСОН ОСнова Оnyx: Обновление программного обеспечения ruby-rails-html-sanitizer до версии 1.0.4-1+deb10u2
| Балл | 6.4 — средняя опасность |