Action View tag helpers 跨站脚本漏洞（CVE-2022-27777）

2023-11-30 07:37:39 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

CVE编号

CVE-2022-27777

利用情况

暂无

补丁情况

官方补丁

披露时间

2022-05-27

Action View tag helpers是Action View的一个面向中小企业的、开源免费的、简单易用的、类Jira的问题需求跟踪工具。 Action View tag helpers 5.2.0版本及之后版本存在跨站脚本漏洞。攻击者利用该漏洞在能够控制特定属性输入的情况下注入内容。

目前厂商已发布升级补丁以修复漏洞，详情请关注厂商主页：https://actionview.cn/www/index.html

参考链接
https://discuss.rubyonrails.org/t/cve-2022-27777-possible-xss-vulnerability-i...
https://lists.debian.org/debian-lts-announce/2022/09/msg00002.html
https://www.debian.org/security/2023/dsa-5372

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	rubyonrails	actionpack	*		Up to (excluding) 5.2.7.1
	运行在以下环境
	应用	rubyonrails	actionpack	*	From (including) 6.0.0	Up to (excluding) 6.0.4.8
	运行在以下环境
	应用	rubyonrails	actionpack	*	From (including) 6.1.0	Up to (excluding) 6.1.5.1
	运行在以下环境
	应用	rubyonrails	actionpack	*	From (including) 7.0.0	Up to (excluding) 7.0.2.4
	运行在以下环境
	系统	centos_8	rubygem-hammer_cli_foreman_admin	*		Up to (excluding) 0.0.4-1.el8sat
	运行在以下环境
	系统	debian_10	rails	*		Up to (excluding) 2:5.2.2.1+dfsg-1+deb10u4
	运行在以下环境
	系统	debian_11	rails	*		Up to (excluding) 2:6.0.3.7+dfsg-2+deb11u1
	运行在以下环境
	系统	debian_12	rails	*		Up to (excluding) 2:6.1.6.1+dfsg-1
	运行在以下环境
	系统	debian_9	rails	*		Up to (including) 4.2.7.1-1+deb9u2
	运行在以下环境
	系统	debian_sid	rails	*		Up to (excluding) 2:6.1.6.1+dfsg-1
	运行在以下环境
	系统	opensuse_Leap_15.3	ruby2.5-rubygem-activesupport-doc-5_1	*		Up to (excluding) 5.1.4-150000.3.9.1
	运行在以下环境
	系统	opensuse_Leap_15.4	ruby2.5-rubygem-actionview-doc-5_1	*		Up to (excluding) 5.1.4-150000.3.9.1
	运行在以下环境
	系统	redhat_8	rubygem-hammer_cli_foreman_admin	*		Up to (excluding) 0.0.4-1.el8sat