漏洞信息
# N/A
## 漏洞概述
Ruby on Rails 2.1.x, 2.2.x, 和 2.3.x 版本前于 2.3.11 以及 3.x 版本中,未正确验证带有 X-Requested-With 头的 HTTP 请求,从而使得远程攻击者更容易通过伪造的 AJAX 或 API 请求进行跨站请求伪造(CSRF)攻击。
## 影响版本
- Ruby on Rails 2.1.x
- Ruby on Rails 2.2.x
- Ruby on Rails 2.3.x 低于 2.3.11
- Ruby on Rails 3.x 低于 3.0.4
## 细节
Ruby on Rails 在处理带有 `X-Requested-With` 头的 HTTP 请求时存在验证不足的问题。攻击者可以利用这种缺陷,通过伪造的 AJAX 或 API 请求,结合浏览器插件和 HTTP 重定向,进行跨站请求伪造(CSRF)攻击。
## 影响
攻击者可以通过伪造的 HTTP 请求(如 AJAX 请求或 API 请求),结合浏览器插件和 HTTP 重定向,更容易发起跨站请求伪造(CSRF)攻击,导致未经授权的行为被实施或敏感信息被泄露。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
漏洞描述信息
Ruby on Rails 2.1.x, 2.2.x, and 2.3.x before 2.3.11, and 3.x before 3.0.4, does not properly validate HTTP requests that contain an X-Requested-With header, which makes it easier for remote attackers to conduct cross-site request forgery (CSRF) attacks via forged (1) AJAX or (2) API requests that leverage "combinations of browser plugins and HTTP redirects," a related issue to CVE-2011-0696.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Ruby on Rails HTTP请求跨站请求伪造漏洞
漏洞描述信息
Ruby on Rails 是一个新的Web应用程序框架,构建在Ruby语言之上。 Ruby on Rails 2.1.x,2.2.x及2.3.11之前的2.3.x版本,3.0.4之前的3.x版本没有正确验证包含X-Requested-With头的HTTP请求。远程攻击者更容易借助利用了"组合的浏览器插件及HTTP重定向"的伪造(1)AJAX或者(2)API请求进行跨站请求伪造攻击。
CVSS信息
N/A
漏洞类别
跨站请求伪造