CVE-2024-28103

Versões do Action Pack 6.1.0 a 6.1.7.7

Versões do Action Pack 7.0.0 a 7.0.8.1

Versões do Action Pack 7.1.0 a 7.1.3.2

A política de permissões configurável pelo aplicativo é servida apenas em respostas com um tipo de conteúdo relacionado a HTML. Esse problema está relacionado à validação insuficiente de entradas, o que pode permitir que um invasor remoto comprometa a confidencialidade, a integridade e a disponibilidade de informações protegidas. A vulnerabilidade diz respeito a tipos de conteúdo que não sejam HTML, os quais se beneficiariam da aplicação da política de permissões.

Para as versões 6.1.0 a 6.1.7.7 do Action Pack, atualize para a versão 6.1.7.8.

Para as versões do Action Pack 7.0.0 a 7.0.8.1, atualize para a versão 7.0.8.2.

Para as versões do Action Pack 7.1.0 a 7.1.3.2, atualize para a versão 7.1.3.3.

Como solução alternativa temporária, considere restringir o acesso a tipos de conteúdo que não sejam HTML até que um patch esteja disponível. Aplique os patches fornecidos para as séries de versões compatíveis, como 6-1-include-permissions-policy-header-on-non-html.patch, 7-0-include-permissions-policy-header-on-non-html.patch ou 7-1-include-permissions-policy-header-on-non-html.patch, para ajudar a resolver o problema imediatamente.