Jonathanhefner

**Nome do software vulnerável e versões afetadas** Versões do Ruby on Rails anteriores à 5.2.4.4 e à 6.0.3.3 **Descrição** O problema está relacionado a uma possível vulnerabilidade de Cross-Site Scripting (XSS) nos auxiliares de tradução do Action View. As visualizações que permitem ao usuário controlar o valor padrão dos auxiliares `t` e `translate` podem estar suscetíveis a ataques XSS. Quando uma string HTML não segura é passada como padrão para uma chave de tradução ausente chamada `html` ou que termine em ` html`, a string padrão é incorretamente marcada como HTML segura e não é escapada. **Recomendações** Para versões anteriores à 5.2.4.4, atualize para a versão 5.2.4.4 ou posterior. Para versões anteriores à 6.0.3.3, atualize para a versão 6.0.3.3 ou posterior. Como solução temporária, considere escapar manualmente as traduções padrão com o auxiliar `html escape` (também conhecido como `h`) para evitar esse problema. Por exemplo: `<%= t(“welcome html”, default: h(untrusted user controlled string)) %>`