Bug XSS descoberto no popular Ruby Gem

Um bug potencial de cross-site scripting (XSS) foi descoberto no Action View, um Ruby Gem popular que lida com solicitações da web na estrutura de aplicativos da web Rails.

A vulnerabilidade está nos ajudantes de tradução do Action View, que tenta traduzir a entrada do usuário.

Quando uma string não segura para HTML é passada como padrão para uma chave de tradução ausente chamada html ou terminando em _html , a string padrão é marcada incorretamente como segura para HTML e não tem escape, explica um aviso .

Isso significa que um invasor pode inserir um código malicioso que pode ser disfarçado como legítimo.

Pontos de vista

O bug foi encontrado pelo mantenedor Jonathan Hefner, que disse ao The Daily Swig que não há evidências de que a falha esteja sendo explorada na natureza.

Hefner, que descobriu o problema ao refatorar o auxiliar de tradução por motivos não relacionados, explicou como o bug poderia ser explorado.

“Eu acho que a maioria dos aplicativos do mundo real não contém código que seria afetado”, disse ele.

“Mas um exemplo plausível de código vulnerável é: <% = t (favorite_food_from_user, default: favorite_food_from_user)%> , em que você se esforça para traduzir alguma entrada do usuário (por exemplo, sua comida favorita), mas volta para a string original se não há tradução.

“Nesse caso, o usuário poderia inserir <script> alert (‘pwned’); </script> _html , que não seria traduzido, mas ainda seria marcado como seguro para HTML devido ao sufixo _html . Portanto, seria a saída como está – sem escape. ”

Tome uma atitude

O problema do XSS foi corrigido nas versões 6.0.3.3 e 5.2.4.4 do Rails, bem como no master do projeto, branches 6-0-stable e 5-2-stable no GitHub.

Os mantenedores do Action View também ofereceram uma solução alternativa para aqueles que não conseguem aplicar o patch.

Fonte: https://portswigger.net/daily-swig/action-view-xss-bug-discovered-in-popular-ruby-gem