jquery-ujs versões 1.0.3 e anteriores

A vulnerabilidade permite que invasores enviem tokens CSRF para domínios externos, possibilitando que eles lancem ataques CSRF. Isso ocorre quando um invasor controla o atributo href de uma tag âncora ou o atributo action de uma tag de formulário que aciona uma ação POST. Ao antepor um espaço ao domínio externo, isso faz com que o jQuery considere a solicitação como sendo da mesma origem, resultando no envio do token CSRF do usuário para o domínio externo.

Atualize para a versão 1.0.4 ou posterior.