PT-2021-12714 · Rubygems · Action Pack

Publicado

2021-01-06

·

Atualizado

2024-06-15

·

CVE-2020-8264

CVSS v3.1

6.1

Média

VetorAV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
**Nome do software vulnerável e versões afetadas:
gem actionpack versões 6.0.0 e posteriores
Descrição:
Existe uma possível vulnerabilidade XSS no middleware Actionable Exceptions quando uma aplicação está sendo executada no modo de desenvolvimento, permitindo que um invasor execute JavaScript no contexto da aplicação local ao enviar ou incorporar uma URL especialmente criada.
Recomendações:
Para as versões 6.0.0 e posteriores do gem actionpack, desative o middleware Actionable Exceptions no ambiente de desenvolvimento adicionando a linha config.middleware.delete ActionDispatch::ActionableExceptions ao arquivo config/environment/development.rb até que um patch possa ser aplicado.

Exploit

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-79

Identificadores relacionados

CVE-2020-8264
GHSA-35MM-CC6R-8FJP
OPENSUSE-SU-2024:11313-1
OPENSUSE-SU-2024:11314-1
OPENSUSE-SU-2024:11316-1
OPENSUSE-SU-2024:11318-1
OPENSUSE-SU-2024:11319-1
OPENSUSE-SU-2024:11321-1
OPENSUSE-SU-2024:11323-1
OPENSUSE-SU-2024:11325-1
OPENSUSE-SU-2024:11327-1
OPENSUSE-SU-2024:11329-1
OPENSUSE-SU-2024:11331-1
OPENSUSE-SU-2024:11348-1
OPENSUSE-SU-2024:11351-1
OPENSUSE-SU-2024:11818-1
OPENSUSE-SU-2024:11819-1
OPENSUSE-SU-2024:11820-1
OPENSUSE-SU-2024:11821-1
OPENSUSE-SU-2024:11822-1
OPENSUSE-SU-2024:11823-1
OPENSUSE-SU-2024:11824-1
OPENSUSE-SU-2024:11825-1
OPENSUSE-SU-2024:11826-1
OPENSUSE-SU-2024:11827-1
OPENSUSE-SU-2024:11828-1
OPENSUSE-SU-2024:11831-1
OPENSUSE-SU-2024:11832-1

Produtos afetados

Action Pack