Thorsteneckel

**Nome do software vulnerável e versões afetadas** Versões do Action Pack 5.2.0 a 5.2.7 Versões do Action Pack 6.0.0 a 6.0.4.7 Versões do Action Pack 6.1.0 a 6.1.5.0 Versões do Action Pack 7.0.0 a 7.0.2.3 **Descrição** A vulnerabilidade permite que um invasor contorne a Política de Segurança de Conteúdo (CSP) para respostas que não sejam HTML, expondo potencialmente os usuários a ataques de script entre sites (XSS). Isso ocorre porque os cabeçalhos CSP eram enviados apenas com respostas consideradas como “HTML” pelo Rails, deixando as solicitações de API sem esses cabeçalhos. **Recomendações** Para o Action Pack versão 5.2.7 e anteriores, atualize para a versão 5.2.7.1. Para o Action Pack versão 6.0.4.7 e anteriores, atualize para a versão 6.0.4.8. Para o Action Pack versão 6.1.5.0 e anteriores, atualize para a versão 6.1.5.1. Para o Action Pack versão 7.0.2.3 e anteriores, atualize para a versão 7.0.2.4. Como solução temporária, considere definir um CSP para respostas de API manualmente até que um patch esteja disponível.