Vulnerabilidad en los asistentes de traducción "t" y "translate" de Action View (CVE-2020-15169)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
11/09/2020
Última modificación:
07/11/2023
Descripción
En Action View versiones anteriores a 5.2.4.4 y 6.0.3.3, se presenta una potencial vulnerabilidad de tipo Cross-Site Scripting (XSS) en los asistentes de traducción de Action View. Las vistas que permiten al usuario controlar el valor predeterminado (no encontrado) de los asistentes "t" y "translate" podrían ser susceptibles a ataques de tipo XSS. Cuando es pasada una cadena no segura hacia HTML como predeterminada para una clave de traducción faltante llamada html o terminando en _html, la cadena predeterminada es marcada incorrectamente como segura para HTML y no escapaba. Esto está parcheado en las versiones 6.0.3.3 y 5.2.4.4. Se propone una solución alternativa sin actualizar en el aviso de fuente
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:action_view_project:action_view:*:*:*:*:*:ruby:*:* | 5.2.4.4 (excluyendo) | |
| cpe:2.3:a:action_view_project:action_view:*:*:*:*:*:ruby:*:* | 6.0.0.0 (incluyendo) | 6.0.3.3 (excluyendo) |
| cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:33:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/rails/rails/security/advisories/GHSA-cfjv-5498-mph5
- https://lists.debian.org/debian-lts-announce/2020/10/msg00015.html
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/XJ7NUWXAEVRQCROIIBV4C6WXO6IR3KSB/
- https://www.debian.org/security/2020/dsa-4766