Multiples vulnérabilités dans Ruby on Rails: Risque d’injection de code indirecte à distance (XSS)
By ,
,
De multiples vulnérabilités ont été découvertes dans Ruby on Rails. Elles permettent à un attaquant de provoquer une injection de code indirecte à distance (XSS). Rails-html-sanitizer v1.6.1 a été publié. Il s'agit d'une mise à jour de sécurité qui corrige plusieurs CVE dans la version 1.6.0 lorsqu'elle est utilisée avec Rails >= 7.1 et la désinfection HTML5. Il est recommandé aux utilisateurs de procéder à la mise à niveau immédiatement.
RISQUE
- Injection de code indirecte à distance (XSS)
SYSTÈMES AFFECTES
- rails-html-sanitizer versions v1.6.x antérieures à v1.6.1
SOLUTIONS
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Source : CERT.FR
