Dominic Breuker

**Nome do software vulnerável e versões afetadas** Versões do rails-html-sanitizer anteriores à 1.4.4 **Descrição** O problema está relacionado à sanitização de fragmentos de HTML em aplicações Rails. Antes da versão 1.4.4, existe uma possível vulnerabilidade XSS em determinadas configurações do Rails::Html::Sanitizer devido a uma correção incompleta. Essa vulnerabilidade pode permitir que um invasor injete conteúdo se o desenvolvedor da aplicação tiver substituído as tags permitidas pelo sanitizador para permitir os elementos “select” e “style”. O código só é afetado se as tags permitidas estiverem sendo substituídas. **Recomendações** Para versões anteriores à 1.4.4, atualize para a versão 1.4.4 ou use a solução alternativa: remova “select” ou “style” das tags permitidas substituídas. Como solução alternativa temporária, considere remover o elemento “select” ou “style” das tags permitidas substituídas até que um patch esteja disponível.