Уязвимость CVE-2020-8166: Информация
Описание
A CSRF forgery vulnerability exists in rails < 5.2.5, rails < 6.0.4 that makes it possible for an attacker to, given a global CSRF token such as the one present in the authenticity_token meta tag, forge a per-form CSRF token.
Важность: MEDIUM (4,3) Вектор: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N
Исправленные пакеты
Имя пакета | Ветка | Исправлено в версии | Версия в репозитории | Errata ID | № Задания | Состояние |
---|---|---|---|---|---|---|
gem-rails | sisyphus | 5.2.4.3-alt1 | 6.1.7.7-alt1 | ALT-PU-2020-2321-1 | 246774 | Исправлено |
gem-rails | p10 | 6.1.7.1-alt1.1 | 6.1.7.1-alt1.2 | ALT-PU-2023-4268-4 | 307833 | Исправлено |
gem-rails | p11 | 5.2.4.3-alt1 | 6.1.7.7-alt1 | ALT-PU-2020-2321-1 | 246774 | Исправлено |
Ссылки на рекомендации, решения и инструменты
Ссылка | Ресурс |
---|---|
https://groups.google.com/g/rubyonrails-security/c/NOjKiGeXUgw |
|
https://hackerone.com/reports/732415 |
|
DSA-4766 |
|