7.8высокая
BDU:2025-08593 (CVE-2020-8167)
Уязвимость программной платформы Ruby on Rails, связанная с подделкой межсайтовых запросов, позволяющая нарушителю отправлять токены CSRF на неправильные домены
Опубликовано: 2025-07-17
Описание
Уязвимость программной платформы Ruby on Rails связана с подделкой межсайтовых запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, отправлять токены CSRF на неправильные домены
Затрагиваемое ПО и версии
OpenSUSE Leap (15.1)SUSE Linux Enterprise Server for SAP Applications (15)SUSE Linux Enterprise Server for SAP Applications (15 SP1)SUSE Linux Enterprise Module for Server Applications (15 SP1)SUSE Linux Enterprise Module for Public Cloud (15 SP1)Debian GNU/Linux (10)SUSE Enterprise Storage (6)SUSE Linux Enterprise High Performance Computing (15-ESPOS)SUSE Linux Enterprise High Performance Computing (15-LTSS)Suse Linux Enterprise Server (15-LTSS)openSUSE TumbleweedSUSE Linux Enterprise Module for Server Applications (15 SP2)OpenSUSE Leap (15.2)SUSE Linux Enterprise Module for Public Cloud (15 SP2)SUSE Manager Proxy (4.0)SUSE Manager Retail Branch Server (4.0)SUSE Manager Server (4.0)Ruby on Rails (до 5.2.4.3)Ruby on Rails (от 6.0.0 до 6.0.3.1)SUSE Linux Enterprise Module for Server Applications (15 SP3)Suse Linux Enterprise Server (15 SP1)Debian GNU/Linux (11)Debian GNU/Linux (12)SUSE Linux Enterprise High Availability Extension (15 SP3)РЕД ОС (7.3)OpenSUSE Leap (15.4)SUSE Linux Enterprise High Performance Computing (15 SP3)Suse Linux Enterprise Server (15 SP3)SUSE Linux Enterprise Server for SAP Applications (15 SP3)SUSE Manager Proxy (4.2)
Способ устранения
Использование рекомендаций:
https://groups.google.com/g/rubyonrails-security/c/x9DixQDG9a0
Для РедОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-rubygem-actionview-cve-2020-8167/?sphrase_id=1076177
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2020-8167
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2020-8167
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2020-8167.html
Оценка CVSS
| Балл | 7.8 — высокая опасность |
Источники и патчи