减轻也提供临时补救措施
beplay体育能用吗使用Action View的Web开发人员是处理Rails Web应用程序框架中的Web请求的流行Ruby Gem,已被敦促更新到发现后的最新版本跨站脚本(XS.脆弱性。
安全漏洞(CVE-2020-5267)被归类为“中等”严重程度,发现了j和eascape_javascript.行动视图中的方法javascript.根据一个人文逃生助手咨询发表于3月17日的GitHub。
根据Aaron Patterson.,谁发表了咨询。
“这些方法用于逃离JavaScript字符串中使用的用户输入,”他告诉每日SWbeplay2018官网IG.。
“例如,如果应用程序从用户接收到输入,并且该应用程序需要将该用户输入的用户输入在JavaScript文字(与JSON编码不同)中,那么您将使用这些方法来超越字符串。”
Action View currently has more than 164 million installs, but Patterson, a senior software engineer at GitHub, said: “It’s probably a pretty rare issue because I think most applications will use JSON to encode data for JavaScript, and encoding data as JSON will not be impacted by this issue.”
David Heinemeier Hansson,Ruby在Rails上的创造者,告诉每日SWbeplay2018官网IG.,他没有有关操作视图的任何数据安装或使用受缺陷影响的方法杰西坎普斯,网络安全培训平台厨师的创始人安全。
安全更新和缓解
开源动作的维护者查看Ruby GEM项目发布修补版本6.0.2.2和5.2.4.23月19日。
XSS缺陷会影响5.2.4.2之前的软件版本的所有版本,以及6.0.0的6次迭代。
已经为任何无法升级的人提供猴子补丁,以及包括单个变形集的Git-AM格式的补丁5.2系列和6.0系列。
由于项目的维护者表示,咨询,促使使用比5.2和6.0系列早于5.2和6.0系列的任何不受支持的发布者升级。
概念证明
例如,Action View漏洞只会发生在用反馈括起来的模板字符串中$ {警报(document.cookie)}。
模板字符串允许开发人员使用JavaScript表达式使用$ {}句法。但是,因为反频和$由于漏洞,未正确逃脱,攻击者可以使用反向克或使用突出模板字符串$ {}注入自己的JavaScript。
贴片逃脱了$和`,这可以防止这些字符被视为模板表达式或反响字符。
例如:`$ {警报(1)}`将调用函数警报,但如果你逃脱$- 例如:`\ $ {警报(1)}`。
受影响的代码,警告咨询,看起来像: