CVE-2024-37031

Versões do Active Admin anteriores à 3.2.2

A versão 4.0.0.beta7 do Active Admin é uma versão corrigida, o que implica que as versões anteriores à 4.0.0.beta7 também estão afetadas; no entanto, como a versão 3.2.2 é mencionada como uma versão corrigida, consideramos vulneráveis apenas as versões anteriores à 3.2.2.

A vulnerabilidade permite XSS armazenado em determinadas situações em que os usuários podem criar entidades com nomes arbitrários, especificamente uma vulnerabilidade relacionada a “legendas de formulários dinâmicos”. Isso pode ocorrer quando os usuários definem as legendas de seus formulários do Active Admin dinamicamente, tornando-os vulneráveis a XSS armazenado se o valor puder ser injetado diretamente por um usuário mal-intencionado. Por exemplo, um aplicativo web público que permite aos usuários criar entidades com nomes arbitrários, que são então administradas por meio de um backend privado usando o Active Admin, poderia estar vulnerável. Um usuário mal-intencionado poderia criar uma entidade com uma carga útil que seria executada no navegador do administrador do Active Admin. Ambos os blocos de formulário com nomes implícitos ou explícitos que podem ser definidos por usuários não administradores são afetados.

Para versões anteriores à 3.2.2, atualize para a versão 3.2.2 ou posterior para resolver o problema.

Como solução alternativa temporária para versões anteriores à 3.2.2, os usuários podem escapar explicitamente o nome do formulário usando um utilitário de escape de HTML, como ERB::Util.html escape(resource.name), para evitar a vulnerabilidade de XSS armazenado.