Ruby on Rails mail_to helper多个跨站脚本攻击漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1176851 漏洞类型 跨站脚本
发布时间 2011-02-14 更新时间 2019-08-09
CVE编号 CVE-2011-0446 CNNVD-ID CNNVD-201102-213
漏洞平台 N/A CVSS评分 4.3
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201102-213
|漏洞详情
Ruby on Rails(Rails)是Rails核心团队开发维护的一套基于Ruby语言的开源Web应用框架,它是由大卫-海纳梅尔-韩森从美国37signals公司的项目管理工具Basecamp里分离出来的。 当使用javascript编码时,Ruby on Rails 2.3.11之前版本及3.0.4之前的3.x版本中的mail_to helper中存在多个跨站脚本攻击漏洞。远程攻击者可以借助特制(1)name和(2)email值注入任意web脚本或HTML。
|参考资料

来源:MLIST
名称:[rubyonrails-security]20110209PotentialXSSProblemwithmail_to:encode=>:javascript
链接:http://groups.google.com/group/rubyonrails-security/msg/365b8a23b76a6b4a?dmode=source&output=gplain
来源:NSFOCUS
名称:16670
链接:http://www.nsfocus.net/vulndb/16670