Action Pack is missing security headers on non-HTML responses

Action Pack is a framework for handling and responding to web requests. Since 6.1.0, the application configurable Permissions-Policy is only served on responses with an HTML related Content-Type. This vulnerability is fixed in 6.1.7.8, 7.0.8.2, and 7.1.3.3.

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N

输入验证不恰当

Rails Action Pack 安全漏洞

Rails Action Pack是美国Rails团队的一个web框架。提供了路由机制（将请求URL映射到动作），定义实现动作的控制器以及通过渲染视图（各种格式的模板）生成响应的机制。 Rails Action Pack 6.1.0及之前版本存在安全漏洞，该漏洞源于应用程序可配置的Permissions-Policy仅在具有HTML相关Content-Type的响应中提供。

N/A

N/A