PT-2022-7454 · Ruby+6 · Loofah+6

Haqpl

·

Publicado

2022-12-13

·

Atualizado

2026-03-13

·

CVE-2022-23518

CVSS v2.0

6.4

Média

VetorAV:N/AC:L/Au:N/C:P/I:P/A:N
Nome do software vulnerável e versões afetadas
rails-html-sanitizer, versões 1.0.3 a 1.4.3
Descrição
O problema está relacionado à sanitização de fragmentos de HTML em aplicações Rails quando utilizadas em conjunto com o Loofah. Isso permite que um invasor remoto realize ataques de script entre sites (XSS) por meio de URIs de dados.
Recomendações
Atualize para a versão 1.4.4 ou posterior do rails-html-sanitizer. Como solução temporária, considere restringir o uso do Loofah versão 2.1.0 ou posterior até que o problema seja resolvido.

Exploit

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-79

Identificadores relacionados

ALT-PU-2023-1337
ALT-PU-2023-4269
ALT-PU-2024-7813
ALT-PU-2024-7815
BDU:2024-06513
CVE-2022-23518
DLA-3566-1
DLA-3902-1
GHSA-MCVF-2Q2M-X72M
OPENSUSE-SU-2023_3714-1
OPENSUSE-SU-2024:12769-1
OPENSUSE-SU-2024:14175-1
OPENSUSE-SU-2025:15125-1
OPENSUSE-SU-2026:10361-1
RHSA-2023:2097
RLSA-2023:2097
SUSE-SU-2023:3534-1
SUSE-SU-2023:3714-1

Produtos afetados

Alt Linux
Astra Linux
Loofah
Red Os
Rocky Linux
Suse
Rails-Html-Sanitizer