CVE-2013-4492 — ruby-i18n - cross-site scripting

描述

Cross-site scripting (XSS) vulnerability in exceptions.rb in the i18n gem before 0.6.6 for Ruby allows remote attackers to inject arbitrary web script or HTML via a crafted I18n::MissingTranslationData.new call.

如何修補 CVE-2013-4492

要修補 CVE-2013-4492,請將受影響套件升級到下列已修補版本。

Debian/ruby-i18n—升級至 0.6.9-1 或更新版本
Debian/ruby-i18n—升級至 0.6.0-3+deb7u1 或更新版本
RubyGems/i18n—升級至 0.6.6 或更新版本

CVE-2013-4492 正在被利用嗎?

低 — EPSS 為 0.4%,目前沒有觀察到大規模利用活動。

受影響套件(3)

from 0, < 0.6.9-1
from 0, < 0.6.0-3+deb7u1
from 0, < 0.6.6

參考連結(18)

ADVISORYgithub.com/advisories/GHSA-r5hc-9xx5-97rw
ADVISORYnvd.nist.gov/vuln/detail/CVE-2013-4492
ADVISORYsecurity-tracker.debian.org/tracker/CVE-2013-4492
PATCHgithub.com/svenfuchs/i18n
WEB