漏洞信息详情
thoughtbot paperclip gem for Ruby 跨站脚本漏洞
- CNNVD编号:CNNVD-201507-323 <!--
- 危害等级: 中危-->
- 危害等级: 中危
- CVE编号: CVE-2015-2963
- 漏洞类型: 跨站脚本
- 发布时间: 2015-06-18
- 威胁类型: 远程
- 更新时间: 2015-07-17
- 厂 商: thoughtbot
- 漏洞来源: MORI Shingo of DeN...
-
漏洞简介
thoughtbot paperclip gem for Ruby是软件开发者Jon Yurek所研发的一个Active Record的Ruby文件附件管理库,它的主要作用是被Active Record调用。
thoughtbot paperclip gem for Ruby 4.2.2之前版本中存在安全漏洞,该漏洞源于程序在media-type验证期间没有正确处理‘content-type’值。远程攻击者可借助伪造的值利用该漏洞上传任意HTML文档,实施跨站脚本攻击。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://robots.thoughtbot.com/paperclip-security-release
参考网址
来源:github.com
链接:https://github.com/thoughtbot/paperclip/commit/9aee4112f36058cd28d5fe4a006d6981bd1eda57
来源:MLIST
链接:http://openwall.com/lists/oss-security/2015/06/19/3
来源:JVN
链接:http://jvn.jp/en/jp/JVN83881261/index.html
来源:robots.thoughtbot.com
链接:https://robots.thoughtbot.com/paperclip-security-release
来源:JVNDB
链接:http://jvndb.jvn.jp/jvndb/JVNDB-2015-000088
来源: BID
链接:http://www.securityfocus.com/bid/75304
受影响实体
- Thoughtbot Paperclip:4.2.1:~~~Ruby~~<!--2000-1-1-->
补丁
- paperclip-4.2.2<!--2015-6-5-->
还没有评论,来说两句吧...