ГлавнаяБаза уязвимостей БДУ → BDU:2024-06513
6.4средняя

BDU:2024-06513

Уязвимость реализации конфигурации инструмента очистки HTML для приложений Rails Rails Html Sanitizer, связанная с неправильной нейтрализацией входных данных во время генерации веб-страницы, позволяющая нарушителю проводить межсайтовые сценарные атаки
Опубликовано: 2024-08-27
Описание

Уязвимость реализации конфигурации инструмента очистки HTML для приложений Rails Rails Html Sanitizer связана с использованием Rails в сочетании с Loofah. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, проводить межсайтовые сценарные атаки

Затрагиваемое ПО и версии
РЕД ОС (7.3)ОСОН ОСнова Оnyx (до 2.9)Rails Html Sanitizer (от 1.0.3 до 1.4.4)
Способ устранения

Для Rails Html Sanitizer:
https://github.com/rails/rails-html-sanitizer/issues/135
https://github.com/rails/rails-html-sanitizer/commit/d1223a29cb3e4151cdcb6ba6c8431708d8ce40a6
https://github.com/rails/rails-html-sanitizer/commit/bb6dfcbaaf9c5c8c4f77555557693c08d4d4ab48
https://github.com/rails/rails-html-sanitizer/security/advisories/GHSA-mcvf-2q2m-x72m

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОСОН ОСнова Оnyx: Обновление программного обеспечения ruby-loofah до версии 2.2.3-1+deb10u2
Для ОСОН ОСнова Оnyx: Обновление программного обеспечения ruby-rails-html-sanitizer до версии 1.0.4-1+deb10u2

Оценка CVSS
Балл6.4 — средняя опасность
Источники и патчи
https://github.com/rails/rails-html-sanitizer/commit/bb6dfcbaaf9c5c8c4f77555557693c08d4d4ab48https://github.com/rails/rails-html-sanitizer/commit/d1223a29cb3e4151cdcb6ba6c8431708d8ce40a6https://github.com/rails/rails-html-sanitizer/issues/135https://github.com/rails/rails-html-sanitizer/security/advisories/GHSA-mcvf-2q2m-x72mhttps://redos.red-soft.ru/support/secure/https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.9/
Проверьте безопасность своего сайта и почты → Полная проверка домена