Confira !!
No Redcarpet anterior à versão 3.5.1, há uma vulnerabilidade de injeção que pode permitir um ataque de script entre sites. Nas versões afetadas, nenhum escape de HTML estava sendo executado quando
- ------------------------------------------------- ----------------------
Consultivo Debian LTS DLA-2526-1 debian-lts@lists.debian.org
https://www.debian.org/lts/security/ Utkarsh Gupta
15 de janeiro de 2021 https://wiki.debian.org/LTS
- ------------------------------------------------- ----------------------
Pacote: tapete vermelho-rubi
Versão: 3.3.4-2 + deb9u1
ID CVE: CVE-2020-26298
Bug Debian: 980057
No Redcarpet antes da versão 3.5.1, há uma injeção
vulnerabilidade que pode permitir um ataque de script entre sites.
Nas versões afetadas, nenhum escape de HTML estava sendo executado quando
processamento de cotações. Isso se aplica mesmo quando o `: escape_html`
opção estava sendo usada.
Para Debian 9 stretch, este problema foi corrigido na versão
3.3.4-2 + deb9u1.
Recomendamos que você atualize seus pacotes de tapete vermelho de rubi.
Para o status de segurança detalhado do ruby-redcarpet, consulte
sua página de rastreador de segurança em:
https://security-tracker.debian.org/tracker/ruby-redcarpet
Mais informações sobre os avisos de segurança Debian LTS, como se inscrever
essas atualizações em seu sistema e as perguntas
Até a próxima !
Nenhum comentário:
Postar um comentário