Vulnerabilidad en Action Pack (CVE-2024-54133)
Gravedad CVSS v4.0:
BAJA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
10/12/2024
Última modificación:
07/03/2025
Descripción
Action Pack es un framework para gestionar y responder a solicitudes web. Existe una posible vulnerabilidad de Cross Site Scripting (XSS) en el asistente `content_security_policy` a partir de la versión 5.2.0 de Action Pack y anteriores a las versiones 7.0.8.7, 7.1.5.1, 7.2.2.1 y 8.0.0.1. Las aplicaciones que establecen encabezados Content-Security-Policy (CSP) de forma dinámica a partir de una entrada de usuario no confiable pueden ser vulnerables a que las entradas cuidadosamente diseñadas puedan inyectar nuevas directivas en la CSP. Esto podría provocar una omisión de la CSP y su protección contra XSS y otros ataques. Las versiones 7.0.8.7, 7.1.5.1, 7.2.2.1 y 8.0.0.1 contienen una solución. Como workaround, las aplicaciones pueden evitar establecer encabezados CSP de forma dinámica a partir de una entrada no confiable, o pueden validar/sanear esa entrada.
Impacto
Puntuación base 4.0
2.30
Gravedad 4.0
BAJA
Referencias a soluciones, herramientas e información
- https://github.com/rails/rails/commit/2e3f41e4538b9ca1044357f6644f037bbb7c6c49
- https://github.com/rails/rails/commit/3da2479cfe1e00177114b17e496213c40d286b3a
- https://github.com/rails/rails/commit/5558e72f22fc69c1c407b31ac5fb3b4ce087b542
- https://github.com/rails/rails/commit/cb16a3bb515b5d769f73926d9757270ace691f1d
- https://github.com/rails/rails/security/advisories/GHSA-vfm5-rmrh-j26v
- https://security.netapp.com/advisory/ntap-20250306-0010/