事例:CVE-2024-26143: Possible XSS Vulnerability in Action Controller
CVE-2024-26143
Possible XSS Vulnerability in Action Controller
Action Pack、Action ControllerでのXSS
問題
Rails内でi18nを通す際、キーに_htmlがある場合はhtml_safeとして扱われる
ActionViewは以前からこの挙動だったが、Action Controllerがこの挙動になったのはRails7.0から
翻訳対象がない場合に代わりに使うdefaultのキーに信頼できない値が渡っていた場合にXSSとなった
Action Viewに以前同じ問題があった
事例:CVE-2020-15169: Potential XSS vulnerability in Action View
修正
https://github.com/rails/rails/commit/5187a9ef51980ad1b8e81945ebe0462d28f84f9e
この修正にはバグがあったため、7.1.3.2として修正が出ている
https://github.com/rails/rails/commit/c25f0fcaa221ff836c958b8938bd06358f8aedae
デフォルトが渡されず、キーが見つからない場合のエラーメッセージがi18nのものではなかったため
修正では例外発生時にはhtml_safe_translationが呼ばれないようになっている
修正前のものはview側の実装を参考にしたもの
これはエラーメッセージ経由でのXSSの修正の影響
このXSSについては記事に記述されていない
#事例
#CVE