Уязвимость BDU:2022-04353

Дата: 26.05.2022. Автор: ФСТЭК России. Категории: Уязвимости

Идентификатор: BDU:2022-04353.

Наименование уязвимости: Уязвимость плагина actionpack программной платформы Ruby on Rails, позволяющая нарушителю провести атаку межсайтового скриптинга (XSS).

Описание уязвимости: Уязвимость плагина actionpack программной платформы Ruby on Rails существует из-за непринятия мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, провести атаку межсайтового скриптинга (XSS)
Уязвимое ПО: Прикладное ПО информационных систем Rails Core Team Ruby on Rails до 5.2.7.1 | Прикладное ПО информационных систем Rails Core Team Ruby on Rails от 6.0.0 до 6.0.4.8 | Прикладное ПО информационных систем Rails Core Team Ruby on Rails от 6.1.0 до 6.1.5.1 | Прикладное ПО информационных систем Rails Core Team Ruby on Rails от 7.0.0 до 7.0.2.4 | Операционная система АО «НППКТ» ОСОН ОСнова Оnyx до 2.6 |

Наименование ОС и тип аппаратной платформы: ОСОН ОСнова Оnyx до 26 |
Дата выявления: 26.05.2022.
CVSS 2.0: AV:N/AC:L/Au:N/C:P/I:P/A:N
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,1)

Возможные меры по устранению:
Использование рекомендаций:
https://discuss.rubyonrails.org/t/cve-2022-27777-possible-xss-vulnerability-in-action-view-tag-helpers/80534

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения rails до версии 2:5.2.2.1+dfsg-1+deb10u5.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-27777.

Тип ошибки CWE: CWE-79
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://discuss.rubyonrails.org/t/cve-2022-27777-possible-xss-vulnerability-in-action-view-tag-helpers/80534
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.6/

Об авторе ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Читать все записи автора ФСТЭК России

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *