发布日期：2024-12-10
更新日期：2025-02-26

受影响系统：

Rails Action Pack < 8.0.0.1
Rails Action Pack < 7.2.2.1
Rails Action Pack < 7.1.5.1
Rails Action Pack < 7.0.8.7

描述：

---

CVE(CAN) ID: CVE-2024-54133

Rails Action Pack是美国Rails团队的一个web框架，提供了路由机制（将请求URL映射到动作），定义实现动作的控制器以及通过渲染视图（各种格式的模板）生成响应的机制。
Rails Action Pack 7.0.8.7、7.1.5.1、7.2.2.1和8.0.0.1之前版本存在跨站脚本漏洞，该漏洞源于content_security_policy助手能按不可信用户输入动态设置CSP头部，攻击者可利用该漏洞绕过CSP，使其失去对跨站脚本等攻击的防护。

<**>

建议：

---

厂商补丁：

Rails
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/rails/rails/commit/2e3f41e4538b9ca1044357f6644f037bbb7c6c49

浏览次数：119
严重程度：0（网友投票）