Vulnerabilidad en actionview de rails (CVE-2026-33168)

Gravedad CVSS v4.0:

BAJA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

23/03/2026

Última modificación:

24/03/2026

Descripción

Action View proporciona convenciones y ayudantes para construir páginas web con el framework Rails. Anteriormente a las versiones 8.1.2.1, 8.0.4.1 y 7.2.3.1, cuando se utiliza una cadena vacía como nombre de atributo HTML en los ayudantes de etiquetas de Action View, el escape de atributos se omite, produciendo HTML malformado. Un valor de atributo cuidadosamente elaborado podría entonces ser malinterpretado por el navegador como un nombre de atributo separado, posiblemente llevando a XSS. Las aplicaciones que permiten a los usuarios especificar atributos HTML personalizados se ven afectadas. Las versiones 8.1.2.1, 8.0.4.1 y 7.2.3.1 contienen un parche.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 2.30 BAJA
Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Present
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Passsive
Confidentiality (VC): Bajo
Integrity (VI): Bajo
Availability (VA): Ninguno
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0

2.30

Gravedad 4.0

BAJA

Vulnerabilidad en actionview de rails (CVE-2026-33168)

Descripción

Impacto

Referencias a soluciones, herramientas e información