漏洞标题
N/A
漏洞描述信息
Ruby on Rails 2.1.x、2.2.x和2.3.x在2.3.11之前,以及3.x在3.0.4之前,未正确验证包含X-Requested-With头的请求,这使远程攻击者更容易通过伪造的(1)AJAX或(2)利用“浏览器插件和HTTP重定向”的API请求进行跨站点请求伪造(CSRF)攻击,这是CVE-2011-0696相关的一个问题。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Ruby on Rails 2.1.x, 2.2.x, and 2.3.x before 2.3.11, and 3.x before 3.0.4, does not properly validate HTTP requests that contain an X-Requested-With header, which makes it easier for remote attackers to conduct cross-site request forgery (CSRF) attacks via forged (1) AJAX or (2) API requests that leverage "combinations of browser plugins and HTTP redirects," a related issue to CVE-2011-0696.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Ruby on Rails HTTP请求跨站请求伪造漏洞
漏洞描述信息
Ruby on Rails 是一个新的Web应用程序框架,构建在Ruby语言之上。 Ruby on Rails 2.1.x,2.2.x及2.3.11之前的2.3.x版本,3.0.4之前的3.x版本没有正确验证包含X-Requested-With头的HTTP请求。远程攻击者更容易借助利用了"组合的浏览器插件及HTTP重定向"的伪造(1)AJAX或者(2)API请求进行跨站请求伪造攻击。
CVSS信息
N/A
漏洞类别
跨站请求伪造