CVE-2024-28199

phlex, versões 1.0.0 a 1.9.0

O phlex é uma estrutura de código aberto para a criação de visualizações orientadas a objetos em Ruby. Existe uma vulnerabilidade potencial de cross-site scripting (XSS) que pode ser explorada por meio de dados de usuário criados de forma maliciosa. Isso ocorreu devido a uma sensibilidade inadequada a maiúsculas e minúsculas no código que deveria impedir esses ataques. Se você renderizar uma tag <a> com um atributo href definido para um link fornecido pelo usuário, esse link poderá executar JavaScript quando clicado por outro usuário. Se você expandir atributos fornecidos pelo usuário ao renderizar qualquer tag HTML, atributos de evento maliciosos poderão ser incluídos na saída, executando JavaScript quando os eventos forem acionados por outro usuário.

Para as versões 1.0.0 a 1.9.0, atualize para uma versão corrigida disponível no RubyGems.

Como solução temporária, considere configurar uma política de segurança de conteúdo que não permita unsafe-inline.

Restrinja o acesso a atributos e links fornecidos pelo usuário para minimizar o risco de exploração.

Evite usar dados fornecidos pelo usuário em tags HTML até que o problema seja resolvido.