发布日期：2021-06-11
更新日期：2021-07-22

受影响系统：

Rails Action Pack < 6.1.3.2

描述：

---

CVE(CAN) ID: CVE-2021-22903

Rails Action Pack是美国Rails社区的一个web框架。提供了路由机制（将请求URL映射到动作），定义实现动作的控制器以及通过渲染视图（各种格式的模板）生成响应的机制。
Action Pack ruby gem 6.1.3.2之前的版本存在开放重定向漏洞。攻击者可通过特制的主机头与某些“允许的主机”格式导致Action Pack的主机授权中间件重定向用户至一个恶意网站。  

<**>

建议：

---

厂商补丁：

Rails
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://weblog.rubyonrails.org/2021/5/5/Rails-versions-6-1-3-2-6-0-3-7-5-2-4-6-and-5-2-6-have-been-released/

浏览次数：818
严重程度：0（网友投票）