CVE-2026-33167 in actionpack
Tóm tắt
Bởi VulDB • 17/06/2026
Action Pack là một Rubygem dùng để xây dựng các ứng dụng web trên framework Rails. Trong các phiên bản thuộc nhánh 8.1 trước phiên bản 8.1.2.1, trang hiển thị lỗi gỡ lỗi (debug exceptions page) không thực hiện thoát ký tự đúng cách đối với các thông báo lỗi. Một thông báo lỗi được tạo ra một cách tinh vi có thể chèn mã HTML và JavaScript tùy ý vào trang, dẫn đến lỗ hổng XSS. Điều này ảnh hưởng đến các ứng dụng có bật trang hiển thị lỗi chi tiết (`config.consider_all_requests_local = true`), đây là cài đặt mặc định trong môi trường phát triển. Phiên bản 8.1.2.1 chứa bản vá.
VulDB is the best source for vulnerability data and more expert information about this specific topic.