Robin Daugherty

**Nome do software vulnerável e versões afetadas** Versões do better errors anteriores à 2.8.0 **Descrição** O better errors é um substituto de código aberto para a página de erro padrão do Rails, oferecendo páginas de erro com mais informações; também pode ser utilizado fora do Rails em qualquer aplicativo Rack como middleware Rack. O problema decorre da falta de proteção contra CSRF para suas solicitações internas e da falha em aplicar o cabeçalho “Content-Type” correto, permitindo “solicitações simples” entre origens sem proteção CORS. Isso deixa as aplicações com o better errors habilitado vulneráveis a ataques entre origens. Como ferramenta de desenvolvimento, a documentação do better errors recomenda limitar seu uso ao grupo de pacotes `development`, sugerindo que essa vulnerabilidade afeta principalmente ambientes de desenvolvimento. **Recomendações** Para resolver o problema, atualize para a versão mais recente do better errors ou, no mínimo, para a versão “~> 2.8.3”. Certifique-se de que seu projeto limite o better errors ao grupo `development` (ou o equivalente não-Rails) para minimizar a exposição. Não há soluções alternativas conhecidas para mitigar o risco de usar versões mais antigas do better errors.