rails-html-sanitizer 1.6.0 的某些配置可能存在 XSS 漏洞 (CVE-2024-53989)
CVE编号
CVE-2024-53989
利用情况
暂无
补丁情况
N/A
披露时间
2024-12-03
漏洞描述
在Rails应用程序中,rails-html-sanitizer负责清理HTML片段。在使用Rails版本>= 7.1.0时,Rails::HTML::Sanitizer的某些配置可能存在XSS漏洞。如果启用了HTML5清理并且应用程序开发人员替换了“noscript”元素的清理器允许的标签,那么Rails::HTML::Sanitizer的某些配置可能存在漏洞,攻击者可能会利用此漏洞注入内容。此漏洞已在版本1.6.1中得到修复。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
https://access.redhat.com/security/cve/CVE-2024-53989
https://github.com/rails/rails-html-sanitizer/commit/16251735e36ebdc302e2f90f...
https://github.com/rails/rails-html-sanitizer/security/advisories/GHSA-rxv5-gxqc-xx8g
文章评论