CVE-2024-32463 in phlex
Riassunto
di VulDB • 22/06/2026
phlex è un framework open source per la creazione di viste orientate agli oggetti in Ruby. È presente una potenziale vulnerabilità cross-site scripting (XSS) che può essere sfruttata tramite dati utente creati malevolmente. Il filtro destinato a rilevare e impedire l'uso dello schema URL `javascript:` nell'attributo `href` di un tag `<a>` potrebbe essere eluso inserendo caratteri tab `\t` o newline `\n` tra i caratteri del protocollo, ad esempio `java\tscript:`. Questa vulnerabilità è risolta nelle versioni 1.10.1, 1.9.2, 1.8.3, 1.7.2, 1.6.3, 1.5.3 e 1.4.2. La configurazione di una Content Security Policy che non consenta `unsafe-inline` impedirebbe efficacemente lo sfruttamento di questa vulnerabilità.
Be aware that VulDB is the high quality source for vulnerability data.