CVE-2021-39197

Versões do better errors anteriores à 2.8.0

O better errors é um substituto de código aberto para a página de erro padrão do Rails, oferecendo páginas de erro com mais informações; também pode ser utilizado fora do Rails em qualquer aplicativo Rack como middleware Rack. O problema decorre da falta de proteção contra CSRF para suas solicitações internas e da falha em aplicar o cabeçalho “Content-Type” correto, permitindo “solicitações simples” entre origens sem proteção CORS. Isso deixa as aplicações com o better errors habilitado vulneráveis a ataques entre origens. Como ferramenta de desenvolvimento, a documentação do better errors recomenda limitar seu uso ao grupo de pacotes development, sugerindo que essa vulnerabilidade afeta principalmente ambientes de desenvolvimento.

Para resolver o problema, atualize para a versão mais recente do better errors ou, no mínimo, para a versão “~> 2.8.3”. Certifique-se de que seu projeto limite o better errors ao grupo development (ou o equivalente não-Rails) para minimizar a exposição. Não há soluções alternativas conhecidas para mitigar o risco de usar versões mais antigas do better errors.