Описание
Множественные уязвимости rubygem-rails-html-sanitizer
Наименование уязвимого пакета
Пакет обновления
Версия уязвимого пакета младше
Возможные меры по устранению уязвимости
Запретить использование в ОС пакета rubygem-rails-html-sanitizer или Установить обновление для пакета(ов) rubygem-rails-html-sanitizer
Версия ОС
Архитектура ОС
Дата публикации бюллетеня
15.08.2024
CVE-2022-23519
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость реализации конфигурации инструмента очистки HTML для приложений Rails Rails Html Sanitizer связана с внедрением контента, если разработчик приложения переопределил разрешенные теги "math" и "style" или "svg" и "style". Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, проводить межсайтовые сценарные атаки
6.1 Medium
CVSS3
6.4 Medium
CVSS2
CVE-2022-23518
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость реализации конфигурации инструмента очистки HTML для приложений Rails Rails Html Sanitizer связана с использованием Rails в сочетании с Loofah. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, проводить межсайтовые сценарные атаки
6.1 Medium
CVSS3
6.4 Medium
CVSS2
CVE-2022-23517
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость реализации конфигурации инструмента очистки HTML для приложений Rails Rails Html Sanitizer связана с о чрезмерным обратным отслеживанием при попытке очистки определенных атрибутов SVG. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании
7.5 High
CVSS3
7.8 High
CVSS2