VULHUB ™

Ruby on Rails（Rails）是Rails核心团队开发维护的一套基于Ruby语言的开源Web应用框架，它是由大卫-海纳梅尔-韩森从美国37signals公司的项目管理工具Basecamp里分离出来的。rails-html-sanitizer gem是其中的一个HTML代码清理包。 Ruby on Rails的rails-html-sanitizer gem的lib/rails/html/scrubbers.rb文件中存在跨站脚本漏洞。远程攻击者可借助特制的CDATA节点利用该漏洞注入任意Web脚本或HTML。以下产品及版本受到影响：Ruby on Rails 4.2.x版本和5.x版本，rails-html-sanitizer gem 1.0.3之前版本。

Ruby on Rails（Rails）是Rails核心团队开发维护的一套基于Ruby语言的开源Web应用框架，它是由大卫-海纳梅尔-韩森从美国37signals公司的项目管理工具Basecamp里分离出来的。rails-html-sanitizer gem是其中的一个HTML代码清理包。 Ruby on Rails的rails-html-sanitizer gem的lib/rails/html/scrubbers.rb文件中存在跨站脚本漏洞。远程攻击者可借助特制的CDATA节点利用该漏洞注入任意Web脚本或HTML。以下产品及版本受到影响：Ruby on Rails 4.2.x版本和5.x版本，rails-html-sanitizer gem 1.0.3之前版本。