5средняя
BDU:2025-08595 (CVE-2020-8164)
Уязвимость программной платформы Ruby on Rails, связанная с подделкой межсайтовых запросов, позволяющая нарушителю подделать действующий токен CSRF
Опубликовано: 2025-07-17
Описание
Уязвимость программной платформы Ruby on Rails связана с подделкой межсайтовых запросов в метатеге authenticity_token. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, подделать действующий токен CSRF
Затрагиваемое ПО и версии
OpenSUSE Leap (15.5)OpenSUSE Leap (15.1)SUSE Linux Enterprise Server for SAP Applications (15)SUSE Linux Enterprise Server for SAP Applications (15 SP1)SUSE Linux Enterprise Module for Server Applications (15 SP1)SUSE Linux Enterprise Module for Public Cloud (15 SP1)Debian GNU/Linux (10)SUSE Enterprise Storage (6)SUSE Linux Enterprise High Performance Computing (15-ESPOS)SUSE Linux Enterprise High Performance Computing (15-LTSS)Suse Linux Enterprise Server (15-LTSS)openSUSE TumbleweedSUSE Linux Enterprise Module for Server Applications (15 SP2)OpenSUSE Leap (15.2)SUSE Linux Enterprise Module for Public Cloud (15 SP2)SUSE Manager Proxy (4.0)SUSE Manager Retail Branch Server (4.0)SUSE Manager Server (4.0)Ruby on Rails (до 5.2.4.3)Ruby on Rails (от 6.0.0 до 6.0.3.1)SUSE Linux Enterprise Module for Server Applications (15 SP3)Suse Linux Enterprise Server (15 SP1)Debian GNU/Linux (11)Debian GNU/Linux (12)SUSE Linux Enterprise High Availability Extension (15 SP3)РЕД ОС (7.3)OpenSUSE Leap (15.4)SUSE Linux Enterprise High Performance Computing (15 SP3)Suse Linux Enterprise Server (15 SP3)SUSE Linux Enterprise Server for SAP Applications (15 SP3)
Способ устранения
Использование рекомендаций:
https://groups.google.com/g/rubyonrails-security/c/NOjKiGeXUgw
Для РедОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-rubygem-actionpack-cve-2020-8164-cve-2020-8185-cve-2020-8166/?sphrase_id=1076181
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2020-8166
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2020-8166
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2020-8166.html
Оценка CVSS
| Балл | 5 — средняя опасность |
Источники и патчи