漏洞信息详情

Ruby on Rails HTTP请求跨站请求伪造漏洞

  • CNNVD编号:CNNVD-201102-214
  • 危害等级: 中危
  • CVE编号: CVE-2011-0447
  • 漏洞类型: 跨站请求伪造
  • 发布时间: 2011-02-14
  • 威胁类型: 远程
  • 更新时间: 2019-08-09
  • 厂        商: rubyonrails
  • 漏洞来源: Brendan Coles, Git...

漏洞简介

Ruby on Rails 是一个新的Web应用程序框架,构建在Ruby语言之上。

Ruby on Rails 2.1.x,2.2.x及2.3.11之前的2.3.x版本,3.0.4之前的3.x版本没有正确验证包含X-Requested-With头的HTTP请求。远程攻击者更容易借助利用了\"组合的浏览器插件及HTTP重定向\"的伪造(1)AJAX或者(2)API请求进行跨站请求伪造攻击。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:

http://rubyonrails.org/download

参考网址

来源:SECUNIA

链接:http://secunia.com/advisories/43666

来源:MLIST

链接:http://groups.google.com/group/rubyonrails-security/msg/c22ea1668c0d181c?dmode=source&output=gplain

来源:BID

链接:https://www.securityfocus.com/bid/46291

来源:SECTRACK

链接:http://www.securitytracker.com/id?1025060

来源:FEDORA

链接:http://lists.fedoraproject.org/pipermail/package-announce/2011-March/055074.html

来源:VUPEN

链接:http://www.vupen.com/english/advisories/2011/0587

来源:VUPEN

链接:http://www.vupen.com/english/advisories/2011/0877

来源:FEDORA

链接:http://lists.fedoraproject.org/pipermail/package-announce/2011-March/055088.html

来源:DEBIAN

链接:http://www.debian.org/security/2011/dsa-2247

来源:CONFIRM

链接:http://weblog.rubyonrails.org/2011/2/8/csrf-protection-bypass-in-ruby-on-rails

来源:FEDORA

链接:http://lists.fedoraproject.org/pipermail/package-announce/2011-April/057650.html

来源:SECUNIA

链接:http://secunia.com/advisories/43274

漏洞信息快速查询

相关漏洞

更多