漏洞标题
N/A
漏洞描述信息
## 漏洞概述
Ruby on Rails 在 2.0.5 之前的版本中存在 CRLF 注入漏洞,这使远程攻击者能够通过精心设计的 URL 对 `redirect_to` 函数发起攻击,进而注入任意 HTTP 头部并执行 HTTP 响应拆分攻击。
## 影响版本
- Ruby on Rails 2.0.5 之前的所有版本
## 细节
攻击者可以通过构造特定的 URL 输入到 `redirect_to` 函数中,利用 CRLF 注入漏洞,注入任意 HTTP 头部信息。这种漏洞可以被利用来执行 HTTP 响应拆分攻击,从而绕过安全措施或重定向用户到恶意网站。
## 影响
该漏洞可能导致以下安全威胁:
- 任意 HTTP 头部注入
- HTTP 响应拆分攻击
- 潜在的跨站脚本(XSS)或其它类型的攻击
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
CRLF injection vulnerability in Ruby on Rails before 2.0.5 allows remote attackers to inject arbitrary HTTP headers and conduct HTTP response splitting attacks via a crafted URL to the redirect_to function.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Ruby on Rails 跨站请求伪造漏洞
漏洞描述信息
Ruby on Rails是Rails团队的一套基于Ruby语言的开源Web应用框架。 Ruby on Rails 2.0.5之前版本中存在CRLF 注入漏洞。远程攻击者可以借助一个特制的对redirect_to函数的URL,诸如任意HTTP文件头和执行HTTP反应分裂攻击。
CVSS信息
N/A
漏洞类别
跨站请求伪造