发布日期：2022-01-10
更新日期：2022-04-22

受影响系统：

Rails Rails Action Pack >= 6.0.0

描述：

---

CVE(CAN) ID: CVE-2021-44528

Rails Action Pack是美国Rails社区的一个web框架。提供了路由机制（将请求URL映射到动作），定义实现动作的控制器以及通过渲染视图（各种格式的模板）生成响应的机制。
Rails Action Pack 6.0.0及之后版本存在开放重定向漏洞。攻击者可利用该漏洞通过特制的“X-Forwarded-Host”标头和“allowed host”格式导致主机授权中间件将用户重定向至恶意网站。

<**>

建议：

---

厂商补丁：

Rails
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://github.com/rails/rails/commit/0fccfb9a3097a9c4260c791f1a40b128517e7815

浏览次数：686
严重程度：0（网友投票）