Ruby跨站脚本漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1173669 漏洞类型 跨站脚本
发布时间 2012-03-14 更新时间 2019-08-09
CVE编号 CVE-2012-1099 CNNVD-ID CNNVD-201203-240
漏洞平台 N/A CVSS评分 4.3
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201203-240
|漏洞详情
基于Rails 3.0.12之前的3.0.x版本,3.1.4之前的3.1.x版本,与3.2.2之前的3.2.x版本的Ruby中的查询帮助中的actionpack/lib/action_view/helpers/form_options_helper.rb中存在跨站脚本漏洞。远程攻击者可利用该漏洞借助涉及某些产生SELECT元素内的某些OPTION元素的向量,注入任意web脚本或者HTML。
|参考资料

来源:bugzilla.redhat.com
链接:https://bugzilla.redhat.com/show_bug.cgi?id=799276
来源:MLIST
名称:[oss-security]20120302Re:CVERequest--RubyonRails(v3.0.12)/rubygem-actionpack:TwoXSSflaws
链接:http://www.openwall.com/lists/oss-security/2012/03/03/1
来源:MLIST
名称:[oss-security]20120302CVERequest--RubyonRails(v3.0.12)/rubygem-actionpack:TwoXSSflaws
链接:http://www.openwall.com/lists/oss-security/2012/03/02/6
来源:weblog.rubyonrails.org
链接:http://weblog.rubyonrails.org/2012/3/1/ann-rails-3-0-12-has-been-released
来源:MLIST
名称:[rubyonrails-security]20120301XSSVulnerabilityintheselecthelper
链接:http://groups.google.com/group/rubyonrails-security/msg/6fca4f5c47705488?dmode=source&output=gplain