ГлавнаяБаза уязвимостей БДУ → BDU:2025-08593
7.8высокая

BDU:2025-08593 (CVE-2020-8167)

Уязвимость программной платформы Ruby on Rails, связанная с подделкой межсайтовых запросов, позволяющая нарушителю отправлять токены CSRF на неправильные домены
Опубликовано: 2025-07-17
Описание

Уязвимость программной платформы Ruby on Rails связана с подделкой межсайтовых запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, отправлять токены CSRF на неправильные домены

Затрагиваемое ПО и версии
OpenSUSE Leap (15.1)SUSE Linux Enterprise Server for SAP Applications (15)SUSE Linux Enterprise Server for SAP Applications (15 SP1)SUSE Linux Enterprise Module for Server Applications (15 SP1)SUSE Linux Enterprise Module for Public Cloud (15 SP1)Debian GNU/Linux (10)SUSE Enterprise Storage (6)SUSE Linux Enterprise High Performance Computing (15-ESPOS)SUSE Linux Enterprise High Performance Computing (15-LTSS)Suse Linux Enterprise Server (15-LTSS)openSUSE TumbleweedSUSE Linux Enterprise Module for Server Applications (15 SP2)OpenSUSE Leap (15.2)SUSE Linux Enterprise Module for Public Cloud (15 SP2)SUSE Manager Proxy (4.0)SUSE Manager Retail Branch Server (4.0)SUSE Manager Server (4.0)Ruby on Rails (до 5.2.4.3)Ruby on Rails (от 6.0.0 до 6.0.3.1)SUSE Linux Enterprise Module for Server Applications (15 SP3)Suse Linux Enterprise Server (15 SP1)Debian GNU/Linux (11)Debian GNU/Linux (12)SUSE Linux Enterprise High Availability Extension (15 SP3)РЕД ОС (7.3)OpenSUSE Leap (15.4)SUSE Linux Enterprise High Performance Computing (15 SP3)Suse Linux Enterprise Server (15 SP3)SUSE Linux Enterprise Server for SAP Applications (15 SP3)SUSE Manager Proxy (4.2)
Способ устранения

Использование рекомендаций:
https://groups.google.com/g/rubyonrails-security/c/x9DixQDG9a0

Для РедОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-rubygem-actionview-cve-2020-8167/?sphrase_id=1076177

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2020-8167

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2020-8167

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2020-8167.html

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://groups.google.com/g/rubyonrails-security/c/x9DixQDG9a0https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-rubygem-actionview-cve-2020-8167/?sphrase_id=1076177https://security-tracker.debian.org/tracker/CVE-2020-8167https://access.redhat.com/security/cve/CVE-2020-8167https://www.suse.com/security/cve/CVE-2020-8167.html
Проверьте безопасность своего сайта и почты → Полная проверка домена