N/A

Cross-site scripting (XSS) vulnerability in json/encoding.rb in Active Support in Ruby on Rails 3.x and 4.1.x before 4.1.11 and 4.2.x before 4.2.2 allows remote attackers to inject arbitrary web script or HTML via a crafted Hash that is mishandled during JSON encoding.

N/A

N/A

Ruby on Rails Active Support 跨站脚本漏洞

Ruby on Rails（Rails）是Rails核心团队开发维护的一套基于Ruby语言的开源Web应用框架，它是由大卫-海纳梅尔-韩森从美国37signals公司的项目管理工具Basecamp里分离出来的。 Ruby on Rails的Active Support类库中的json/encoding.rb文件中存在跨站脚本漏洞，该漏洞源于程序在JSON编码期间没有正确处理包含用户提交数据的Hash。远程攻击者可利用该漏洞注入任意Web脚本或HTML。以下产品及版本受到影响：Ruby on Rails 3

N/A

N/A