どんな脆弱性か

Railsのform helpersでのエスケープに脆弱性がある。攻撃者は、故意に変形させたunicodeの文字列をform helpersに入れることで、エスケープのチェックを外して自由にHTMLを差し挟むことができるようになる。

該当バージョン

2.0.0以降(2.3.4, 2.2.3を除く, ruby 1.9で動いているものを除く)

Impact

ほとんどのデータベースは奇形のunicodeを受け取らないか、洗浄するので、この脆弱性は恐らく一度だけ突かれるタイプの攻撃に使われる。しかし継続した攻撃かもしれない。

全ての該当するバージョンを利用するユーザーにアップグレードを勧める。

patch

2.0, 2.1, 2.2, 2.3用のパッチが用意されています。