Action Pack — это Rubygem для создания веб-приложений на платформе Rails. В версиях ветки 8.1 до 8.1.2.1 страница исключений отладки не отображает сообщения об исключениях должным образом. Тщательно созданное сообщение об исключении может внедрить на страницу произвольный HTML и JavaScript, что приведет к XSS.
Это влияет на приложения с включенными подробными страницами исключений (`config.consider_all_requests_local = true`), которые используются по умолчанию при разработке. Версия 8.1.2.1 содержит патч.
Показать оригинальное описание (EN)
Action Pack is a Rubygem for building web applications on the Rails framework. In versions on the 8.1 branch prior to 8.1.2.1, the debug exceptions page does not properly escape exception messages. A carefully crafted exception message could inject arbitrary HTML and JavaScript into the page, leading to XSS. This affects applications with detailed exception pages enabled (`config.consider_all_requests_local = true`), which is the default in development. Version 8.1.2.1 contains a patch.
Характеристики атаки
Последствия
Строка CVSS v4.0