CVE-2024-26143

Versões do Ruby on Rails anteriores à 7.1.3.1

Versões do Ruby on Rails anteriores à 7.0.8.1

Existe uma possível vulnerabilidade XSS ao utilizar os auxiliares de tradução no Action Controller. Aplicativos que utilizam métodos de tradução como translate ou t em um controlador, com uma chave terminada em “ html”, uma chave :default que contenha entradas de usuário não confiáveis e cuja string resultante seja utilizada em uma visualização, podem estar suscetíveis a uma vulnerabilidade XSS. A vulnerabilidade está relacionada à neutralização incorreta dos dados de entrada durante a geração da página web, o que pode permitir que um invasor execute scripts entre sites.

Para versões anteriores à 7.1.3.1, atualize para a versão 7.1.3.1 para corrigir a vulnerabilidade.

Para versões anteriores à 7.0.8.1, atualize para a versão 7.0.8.1 para corrigir a vulnerabilidade.

Como solução temporária, considere desativar o uso de métodos de tradução como translate ou t em controladores com chaves terminadas em “ html” e valores padrão contendo entradas de usuário não confiáveis, até que um patch esteja disponível.

Restrinja o acesso aos auxiliares de tradução vulneráveis no Action Controller para minimizar o risco de exploração.

Evite usar a chave :default com entradas de usuário não confiáveis nos métodos de tradução afetados até que o problema seja resolvido.