Ruby on Rails 多個漏洞

在 Ruby on Rails 發現多個漏洞，惡意使用者可利用漏洞導致跨網站指令碼攻擊及阻斷服務。

1. 當在 Active Record 處理排序鑰轉換成雜湊時發生錯誤，此錯誤可被利用導致雜湊鑰轉換為符號及阻斷服務。
2. 在返回到使用者之前，Action Pack 內的 "sanitize_css" 函式不正確地過濾某輸入。這可被利用導致在使用者的瀏覽器工作階段在受影響的網站下執行任意 HTML 及指令碼。
3. 當在 ActiveSupport 透過 ActiveSupport::XmlMini_JDOM 剖析項目時發生錯誤，此錯誤可被利用，例如：導致某本地檔案內容洩漏，或透過傳送包含外置項目參照的特製 XML 數據導致阻斷服務。
4. 在 HTML 模組的過濾幫手不正確驗證已允許的協定，這可被利用導致在使用者的瀏覽器工作階段在受影響的網站下執行任意 HTML 及指令碼。