漏洞标题
N/A
漏洞描述信息
## 漏洞概述
Ruby on Rails中的`strip_tags`函数存在跨站脚本(XSS)漏洞,该漏洞与`HTML::Tokenizer`和`actionpack/lib/action_controller/vendor/html-scanner/html/node.rb`相关,通过注入非打印ASCII字符实现任意Web脚本或HTML的注入。
## 影响版本
- Ruby on Rails 版本2.2.x之前
- Ruby on Rails 版本2.3.x之前为2.3.5
## 细节
该漏洞利用`strip_tags`函数中的处理缺陷,允许攻击者通过非打印ASCII字符注入任意Web脚本或HTML代码。涉及代码模块包括`HTML::Tokenizer`和`actionpack/lib/action_controller/vendor/html-scanner/html/node.rb`。
## 影响
此漏洞使远程攻击者能够在受影响的应用中注入恶意脚本或HTML代码,从而可能执行跨站脚本攻击,导致敏感信息泄露或页面篡改等安全问题。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Cross-site scripting (XSS) vulnerability in the strip_tags function in Ruby on Rails before 2.2.s, and 2.3.x before 2.3.5, allows remote attackers to inject arbitrary web script or HTML via vectors involving non-printing ASCII characters, related to HTML::Tokenizer and actionpack/lib/action_controller/vendor/html-scanner/html/node.rb.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Ruby on Rails 跨站脚本漏洞
漏洞描述信息
Ruby on Rails是Rails团队的一套基于Ruby语言的开源Web应用框架。 Ruby on Rails的strip_tags函数中存在跨站脚本漏洞。由于HTML::Tokenizer的解析代码在处理不可打印ascii字符时的错误,攻击者可以包含某些浏览器会评估的值,导致在用户浏览器会话中执行任意代码。
CVSS信息
N/A
漏洞类别
跨站脚本