Ankane

**Name of the Vulnerable Software and Affected Versions** Clockwork Web versions prior to 0.1.2 Rails versions prior to 5.2 **Description** The issue allows Cross-Site Request Forgery (CSRF) attacks, which work by getting an authorized user to visit a malicious website and then performing requests on behalf of the user. In this instance, actions include enabling and disabling jobs. **Recommendations** For Clockwork Web versions prior to 0.1.2, upgrade to version 0.1.2 or later. For Rails versions prior to 5.2, upgrade to version 5.2 or later.

**Nome do software vulnerável e versões afetadas** Versões 0.2.0 a 0.3.2 da gem Field Test **Descrição** O painel do Field Test está vulnerável a falsificação de solicitação entre sites (CSRF) com métodos de autenticação não baseados em sessão. Essa vulnerabilidade permite que um invasor realize solicitações em nome de um usuário autorizado, levando-o a visitar um site malicioso. Um único endpoint é afetado, o que permite alterar a variante atribuída a um usuário. Métodos de autenticação baseados em sessão não são afetados. **Recomendações** Para as versões 0.2.0 a 0.3.2, atualize imediatamente para uma versão mais recente que inclua a correção, que altera o método `protect from forgery` para `protect from forgery with: :exception` para prevenir ataques CSRF. Como solução alternativa temporária, considere restringir o acesso ao endpoint afetado para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões da gem Chartkick anteriores à 3.4 **Descrição** A vulnerabilidade permite a injeção de Cascading Style Sheets (CSS) sem atributo, o que pode potencialmente levar a estilos maliciosos ou outros problemas de segurança. **Recomendações** Para versões anteriores à 3.4, atualize para a versão 3.4 ou posterior para resolver o problema.

**Name of the Vulnerable Software and Affected Versions** Chartkick.js versions 3.1.0 through 3.1.3 @polymer/polymer versions prior to 3.2.0 **Description** The issue allows prototype pollution, which can be achieved through chart options containing a malicious payload, such as `{" proto ": {"polluted": true}}`. Additionally, loading data from a malicious server can also lead to the same results. **Recommendations** For Chartkick.js versions 3.1.0 through 3.1.3, upgrade to a version outside of this range to mitigate the issue. For @polymer/polymer versions prior to 3.2.0, upgrade to version 3.2.0 or later.

**Name of the Vulnerable Software and Affected Versions** field test gem version 0.3.0 **Description** The issue concerns unvalidated input in a method call, which can return any input, potentially leading to various vulnerabilities such as SQL injection or cross-site scripting (XSS) if applications treat arbitrary variants as trusted. **Recommendations** For field test gem version 0.3.0, consider validating all inputs to the method call to prevent potential SQL injection or XSS attacks. As a temporary workaround, restrict the use of the method call until a patch is available.

**Name of the Vulnerable Software and Affected Versions** Chartkick gem versions prior to 3.1.1 **Description** The issue allows for XSS. **Recommendations** For Chartkick gem versions prior to 3.1.1, update to version 3.1.1 or later to resolve the issue.