Avo — это фреймворк для создания панелей администратора для приложений Ruby on Rails. До версии 3.30.3 в параметре запроса return_to, используемом в интерфейсе avo, существовала уязвимость, отражающая межсайтовый скриптинг (XSS). Злоумышленник может создать вредоносный URL-адрес, который внедрит произвольный код JavaScript, который выполняется при нажатии динамически создаваемой кнопки навигации.
Эта проблема исправлена в версии 3.30.3.
Показать оригинальное описание (EN)
Avo is a framework to create admin panels for Ruby on Rails apps. Prior to version 3.30.3, a reflected cross-site scripting (XSS) vulnerability exists in the return_to query parameter used in the avo interface. An attacker can craft a malicious URL that injects arbitrary JavaScript, which is executed when he clicks a dynamically generated navigation button. This issue has been patched in version 3.30.3.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Avohq Avo
cpe:2.3:a:avohq:avo:*:*:*:*:*:ruby:*:*
|
— |
3.30.3
|