rails-html-sanitizer 1.6.0 的某些配置可能存在 XSS 漏洞 (CVE-2024-53988)
CVE编号
CVE-2024-53988
利用情况
暂无
补丁情况
N/A
披露时间
2024-12-03
漏洞描述
Rails中的rails-html-sanitizer负责清理Rails应用程序中的HTML片段。在使用Rails版本>= 7.1.0时,Rails::HTML::Sanitizer的某些配置可能存在XSS漏洞。如果启用了HTML5清理并且应用程序开发人员已重写了清理器的允许标签(允许“math”,“mtext”,“table”和“style”元素,并且允许“mglyph”或“malignmark”),则Rails::HTML::Sanitizer的某些配置可能存在使攻击者能够注入内容的可能性。此漏洞已在版本1.6.1中得到修复。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
https://github.com/rails/rails-html-sanitizer/commit/a0a3e8b76b696446ffc6bffc...
https://github.com/rails/rails-html-sanitizer/security/advisories/GHSA-cfjx-w229-hgx5
文章评论