发布日期：2012-03-02
更新日期：2012-03-05

受影响系统：

Ruby Ruby on Rails 3.2.x
Ruby Ruby on Rails 3.1.x
Ruby Ruby on Rails 3.0.x

描述：

---

BUGTRAQ  ID: 52264

Ruby on Rails简称RoR或Rails，是一个使用Ruby语言写的开源Web应用框架，它是严格按照MVC结构开发的。

通过SafeBuffer直接操作传递的输入没有正确过滤，通过手动生成的选择标签传递的某些输入没有正确过滤，导致在用户浏览器中执行任意HTML和脚本代码。

<*来源：Akira Matsuda
  
  链接：http://groups.google.com/group/rubyonrails-security/browse_thread/thread/edd28f1e3d04e913
        https://bugzilla.redhat.com/show_bug.cgi?id=799275
*>

建议：

---

厂商补丁：

Ruby
----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.ruby-lang.org/en/

浏览次数：2082
严重程度：0（网友投票）