问题描述
最近我从GitHub收到了一封带有以下安全公告的邮件。 它说:
我们在您具有安全警报访问权限的存储库中发现了一个易受攻击的依赖项。 安全咨询GHSA-cfjv-5498-mph5
Rails版本:6.0.3.2
解决方法
进行一些RnD之后,检查邮件中的附加链接。我发现此问题与Action View的翻译助手有关。
发生此问题When an HTML-unsafe string is passed as the default for a missing translation key named html or ending in _html
要解决此问题,我将Rails版本从6.0.3.2
更新为6.0.3.3
如果您不想更新Rails版本,可以通过使用html_escape助手(别名为h)手动转义默认翻译来解决其影响:
<%= t("welcome_html",default: h(untrusted_user_controlled_string)) %>
此问题发生在action_view版本>= 6.0.0.0,<= 6.0.3.2 and <= 5.2.4.3
中
在6.0.3.3 and 5.2.4.4