miércoles, 17 de agosto de 2016

Cross-site scripting en Ruby on Rails

Se han publicado las versiones Rails 5.0.0.1, 4.2.7.1 y 3.2.22.3 de Ruby on Rails, que corrigen una vulnerabilidad que podría permitir a atacantes remotos construir ataques de cross-site scripting.

Ruby on Rails, también conocido simplemente como Rails, es un framework de aplicaciones web de código abierto escrito en el lenguaje de programación Ruby, que sigue la arquitectura Modelo-Vista-Controlador (MVC).

El problema corregido, con CVE-2016-6316, reside en un posible cross-site scripting en Action View, debido a que un texto declarado como "HTML safe" cuando se pasa como un valor atributo a un tag helper no tendrá las comillas escapadas, lo que podría permitir un ataque XSS.

Por otra parte, la versión 4.2.7.1 también incluye la corrección de otra vulnerabilidad (con CVE-2016-6317) cuando Active Record se usa en combinación con el tratamiento de parámetros JSON. Debido a la forma en Active Record interpreta parámetros en combinación con la manera en que se analizan los parámetros JSON, un atacante podrá realizar consultas de bases de datos con 'IS NULL' o cláusulas where vacías. Este problema no permitirá al atacante insertar valores arbitrarios en una consulta SQL. Sin embargo, puede permitir la consulta para comprobar NULL o eliminar una cláusula WHERE.

Más información:

Rails 5.0.0.1, 4.2.7.1, and 3.2.22.3 have been released!

[CVE-2016-6317] Unsafe Query Generation Risk in Active Record

[CVE-2016-6316] Possible XSS Vulnerability in Action View


Antonio Ropero
Twitter: @aropero

No hay comentarios:

Publicar un comentario en la entrada