漏洞标题
N/A
漏洞描述信息
"在Ruby on Rails 3.x和4.1.x版本中的Active Support中的json/encoding.rb中存在跨站点脚本(XSS)漏洞,在4.1.11和4.2.2之前版本中允许远程攻击者通过在JSON编码过程中创建的哈希来注入任意的Web脚本或HTML。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Cross-site scripting (XSS) vulnerability in json/encoding.rb in Active Support in Ruby on Rails 3.x and 4.1.x before 4.1.11 and 4.2.x before 4.2.2 allows remote attackers to inject arbitrary web script or HTML via a crafted Hash that is mishandled during JSON encoding.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Ruby on Rails Active Support 跨站脚本漏洞
漏洞描述信息
Ruby on Rails(Rails)是Rails核心团队开发维护的一套基于Ruby语言的开源Web应用框架,它是由大卫-海纳梅尔-韩森从美国37signals公司的项目管理工具Basecamp里分离出来的。 Ruby on Rails的Active Support类库中的json/encoding.rb文件中存在跨站脚本漏洞,该漏洞源于程序在JSON编码期间没有正确处理包含用户提交数据的Hash。远程攻击者可利用该漏洞注入任意Web脚本或HTML。以下产品及版本受到影响:Ruby on Rails 3
CVSS信息
N/A
漏洞类别
跨站脚本