在 rails (一個 ruby 型 MVC 架構) 中發現一個潛在的跨網站指令碼 (XSS) 弱點。允許使用者控制「t」和「translate」協助程式之預設 (未找到) 值的檢視容易遭受 XSS 攻擊。將 HTML-unsafe 字串作為名為 html 或以 _html 結尾的遺漏轉換金鑰的預設值傳送時，系統會將預設字串錯誤標記為 HTML-safe 且不會逸出。

針對 Debian 9 Stretch，已在 2:4.2.7.1-1+deb9u4 版本中修正此問題。

建議您升級 rails 套件。

如需有關 rails 安全性狀態的詳細資訊，請參閱其安全追蹤頁面： https://security-tracker.debian.org/tracker/rails

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

偵測

Debian DLA-2403-1：rails 安全性更新

medium Nessus Plugin ID 141379

版本 1.3