製品・ソフトウェアに関する情報

JVN脆弱性詳細

Ruby on Rails におけるクロスサイトスクリプティングの脆弱性

Title	Ruby on Rails におけるクロスサイトスクリプティングの脆弱性
Summary	Ruby on Rails には、クロスサイトスクリプティングの脆弱性が存在します。
Possible impacts	第三者により、任意の Web スクリプトまたは HTML を挿入される可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Sept. 8, 2009, midnight
Registration Date	April 16, 2010, 4:58 p.m.
Last Update	April 16, 2010, 4:58 p.m.

Affected System

アップル

Apple Mac OS X v10.6 から v10.6.2

Apple Mac OS X Server v10.6 から v10.6.2

Ruby on Rails project

Rails 2.2.3 未満

Rails 2.3.4 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2009-3009	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3009
National Vulnerability Database (NVD)
2	CVE-2009-3009	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-3009

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	Name	URL
Apple Security Updates
1	HT4077	http://support.apple.com/kb/HT4077
Apple セキュリティアップデート
2	HT4077	http://support.apple.com/kb/HT4077?viewlocale=ja_JP
Rails weblog
3	XSS Vulnerability in Ruby on Rails	http://weblog.rubyonrails.org/2009/9/4/xss-vulnerability-in-ruby-on-rails

その他

No	Name	URL
ISS X-Force Database
1	53036	http://xforce.iss.net/xforce/xfdb/53036
OPEN SOURCE VULNERABILITY DATABASE (OSVDB)
2	57666	http://www.osvdb.org/57666
Secunia Advisory
3	SA36600	http://secunia.com/advisories/36600
SecurityFocus
4	36278	http://www.securityfocus.com/bid/36278
SecurityTracker
5	1022824	http://securitytracker.com/id?1022824
VUPEN Security
6	VUPEN/ADV-2009-2544	http://www.vupen.com/english/advisories/2009/2544

Change Log

No	Changed Details	Date of change
0	[2010年04月16日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2009-3009

Summary	Cross-site scripting (XSS) vulnerability in Ruby on Rails 2.x before 2.2.3, and 2.3.x before 2.3.4, allows remote attackers to inject arbitrary web script or HTML by placing malformed Unicode strings into a form helper.
Publication Date	Sept. 9, 2009, 3:30 a.m.
Registration Date	Jan. 29, 2021, 1:22 p.m.
Last Update	Aug. 8, 2019, 11:43 p.m.

Affected software configurations

Related information, measures and tools

No	URL	refsource	タグ
1	http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=545063	CONFIRM
2	http://groups.google.com/group/rubyonrails-security/msg/7f57cd7794e1d1b4?dmode=source	MLIST	Patch
3	http://lists.apple.com/archives/security-announce/2010//Mar/msg00001.html	APPLE
4	http://lists.opensuse.org/opensuse-security-announce/2009-10/msg00004.html	SUSE
5	http://secunia.com/advisories/36600	SECUNIA	Vendor Advisory
6	http://secunia.com/advisories/36717	SECUNIA	Vendor Advisory
7	http://securitytracker.com/id?1022824	SECTRACK	Patch
8	http://support.apple.com/kb/HT4077	CONFIRM
9	http://weblog.rubyonrails.org/2009/9/4/xss-vulnerability-in-ruby-on-rails	CONFIRM
10	http://www.debian.org/security/2009/dsa-1887	DEBIAN
11	http://www.osvdb.org/57666	OSVDB
12	http://www.securityfocus.com/bid/36278	BID
13	http://www.vupen.com/english/advisories/2009/2544	VUPEN	Patch Vendor Advisory
14	https://exchange.xforce.ibmcloud.com/vulnerabilities/53036	XF

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html