安全报告:GHSA-cfjv-5498-mph5 actionview (RubyGems)
Security Advisory: GHSA-cfjv-5498-mph5 actionview (RubyGems)
最近我收到一封来自 GitHub 的邮件,其中包含以下安全建议。
它说:
我们在您具有安全警报访问权限的存储库中发现了一个易受攻击的依赖项。
安全报告 GHSA-cfjv-5498-mph5
Rails版本:6.0.3.2
完成一些 RnD 并查看邮件中的附件 link。我得到这个问题与 Action View 的翻译助手有关。
出现此问题When an HTML-unsafe string is passed as the default for a missing translation key named html or ending in _html
为了解决这个问题,我将 rails 版本从 6.0.3.2 更新为 6.0.3.3
如果您不想更新您的 Rails 版本,您可以通过使用 html_escape 助手(别名为 h)手动转义默认翻译来解决它的影响:
<%= t("welcome_html", default: h(untrusted_user_controlled_string)) %>
此问题出现在 action_view 版本 >= 6.0.0.0, <= 6.0.3.2 and <= 5.2.4.3
已解决于 6.0.3.3 and 5.2.4.4
最近我收到一封来自 GitHub 的邮件,其中包含以下安全建议。 它说:
我们在您具有安全警报访问权限的存储库中发现了一个易受攻击的依赖项。 安全报告 GHSA-cfjv-5498-mph5
Rails版本:6.0.3.2
完成一些 RnD 并查看邮件中的附件 link。我得到这个问题与 Action View 的翻译助手有关。
出现此问题When an HTML-unsafe string is passed as the default for a missing translation key named html or ending in _html
为了解决这个问题,我将 rails 版本从 6.0.3.2 更新为 6.0.3.3
如果您不想更新您的 Rails 版本,您可以通过使用 html_escape 助手(别名为 h)手动转义默认翻译来解决它的影响:
<%= t("welcome_html", default: h(untrusted_user_controlled_string)) %>
此问题出现在 action_view 版本 >= 6.0.0.0, <= 6.0.3.2 and <= 5.2.4.3
已解决于 6.0.3.3 and 5.2.4.4