漏洞标题
视图组件跨站脚本漏洞
漏洞描述信息
view_component 是一个在 Ruby on Rails 中构建可重用、可测试和封装的视图组件的框架。在 3.9.0 之前的版本具有跨站脚本漏洞,这有可能影响到使用 view_component gem 从控制器直接渲染组件的人。请注意,只有定义了 `#call` 方法(即不使用子线程模板)的组件受到影响。`#call` 方法的返回值没有被sanitize,可以包含用户定义的内容。此外,`#output_postamble` 方法的返回值没有被sanitize,这也可能导致跨站脚本问题。3.9.0 版本已经发布,完全 mitigate 了 `#call` 和 `#output_postamble` 漏洞。作为一种 workaround,请sanitize `#call` 的返回值。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
漏洞标题
view_component Cross-site Scripting vulnerability
漏洞描述信息
view_component is a framework for building reusable, testable, and encapsulated view components in Ruby on Rails. Versions prior to 3.9.0 and 2.83.0 have a cross-site scripting vulnerability that has the potential to impact anyone rendering a component directly from a controller with the view_component gem. Note that only components that define a `#call` method (i.e. instead of using a sidecar template) are affected. The return value of the `#call` method is not sanitized and can include user-defined content. In addition, the return value of the `#output_postamble` methodis not sanitized, which can also lead to cross-site scripting issues. Versions 3.9.0 and 2.83.0 have been released and fully mitigate both the `#call` and the `#output_postamble` vulnerabilities. As a workaround, sanitize the return value of `#call`.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
漏洞标题
ViewComponent 跨站脚本漏洞
漏洞描述信息
ViewComponent是用于在 Ruby on Rails 中构建可重用、可测试和封装视图组件的框架。 ViewComponent 3.9.0之前版本存在跨站脚本漏洞,该漏洞源于view_component-gem组件存在跨站脚本(XSS)漏洞。
CVSS信息
N/A
漏洞类别
跨站脚本