製品・ソフトウェアに関する情報

JVN脆弱性詳細

Ruby on Rails におけるクロスサイトリクエストフォージェリ (CSRF) 保護を回避される脆弱性

Title	Ruby on Rails におけるクロスサイトリクエストフォージェリ (CSRF) 保護を回避される脆弱性
Summary	Ruby on Rails は、特定のコンテンツタイプを伴うリクエストに対してトークンを確認しないため、クロスサイトリクエストフォージェリ (CSRF) 保護機能に依存するアプリケーションへのリクエストに対する CSRF 保護を回避される脆弱性が存在します。
Possible impacts	第三者により、クロスサイトリクエストフォージェリ (CSRF) 保護機能に依存するアプリケーションへのリクエストに対する CSRF 保護を回避される可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Nov. 18, 2008, midnight
Registration Date	Dec. 20, 2012, 7:10 p.m.
Last Update	Dec. 20, 2012, 7:10 p.m.

CVSS2.0 : 警告
Score	6.8
Vector	AV:N/AC:M/Au:N/C:P/I:P/A:P

Affected System

Ruby on Rails project

Rails 2.1.3 未満の 2.1 および 2.2.2 未満の 2.2.x

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2008-7248	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-7248
National Vulnerability Database (NVD)
2	CVE-2008-7248	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-7248

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-20	https://jvndb.jvn.jp/ja/cwe/CWE-20.html

ベンダー情報

No	Name	URL
Ruby on Rails project
1	Potential Circumvention of CSRF Protection in Rails 2.1	http://weblog.rubyonrails.org/2008/11/18/potential-circumvention-of-csrf-protection-in-rails-2-1

Change Log

No	Changed Details	Date of change
0	[2012年12月20日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2008-7248

Summary	Ruby on Rails 2.1 before 2.1.3 and 2.2.x before 2.2.2 does not verify tokens for requests with certain content types, which allows remote attackers to bypass cross-site request forgery (CSRF) protection for requests to applications that rely on this protection, as demonstrated using text/plain.
Summary	Ruby on Rails v2.1 anteriores a v2.1.3 y v2.2.x anteriores a v2.2.2 no verifica los token en peticiones con ciertos tipos de contenido, lo que permite a atacantes remotos evitar la protección contra la falsificación de petición en sitios cruzados (CSRF) para peticiones de aplicaciones que la requieren con se demuestra en el uso de texto plano.
Publication Date	Dec. 16, 2009, 10:30 a.m.
Registration Date	Jan. 29, 2021, 1:52 p.m.
Last Update	April 23, 2026, 9:35 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:rubyonrails:rails:2.1.0:::::::*
cpe:2.3:a:rubyonrails:rails:2.1.1:::::::*
cpe:2.3:a:rubyonrails:rails:2.1.2:::::::*
cpe:2.3:a:rubyonrails:rails:2.2.0:::::::*
cpe:2.3:a:rubyonrails:rails:2.2.1:::::::*

Related information, measures and tools

No	URL	refsource
1	http://groups.google.com/group/rubyonrails-security/browse_thread/thread/d741ee286e36e301?hl=en	secalert@redhat.com
2	http://lists.opensuse.org/opensuse-security-announce/2010-03/msg00004.html	secalert@redhat.com
3	http://pseudo-flaw.net/content/web-browsers/form-data-encoding-roundup/	secalert@redhat.com
4	http://secunia.com/advisories/36600	secalert@redhat.com
5	http://secunia.com/advisories/38915	secalert@redhat.com
6	http://weblog.rubyonrails.org/2008/11/18/potential-circumvention-of-csrf-protection-in-rails-2-1	secalert@redhat.com
7	http://www.openwall.com/lists/oss-security/2009/11/28/1	secalert@redhat.com
8	http://www.openwall.com/lists/oss-security/2009/12/02/2	secalert@redhat.com
9	http://www.rorsecurity.info/journal/2008/11/19/circumvent-rails-csrf-protection.html	secalert@redhat.com
10	http://www.vupen.com/english/advisories/2009/2544	secalert@redhat.com
11	http://groups.google.com/group/rubyonrails-security/browse_thread/thread/d741ee286e36e301?hl=en	af854a3a-2127-422b-91ae-364da2661108
12	http://lists.opensuse.org/opensuse-security-announce/2010-03/msg00004.html	af854a3a-2127-422b-91ae-364da2661108
13	http://pseudo-flaw.net/content/web-browsers/form-data-encoding-roundup/	af854a3a-2127-422b-91ae-364da2661108
14	http://secunia.com/advisories/36600	af854a3a-2127-422b-91ae-364da2661108
15	http://secunia.com/advisories/38915	af854a3a-2127-422b-91ae-364da2661108
16	http://weblog.rubyonrails.org/2008/11/18/potential-circumvention-of-csrf-protection-in-rails-2-1	af854a3a-2127-422b-91ae-364da2661108
17	http://www.openwall.com/lists/oss-security/2009/11/28/1	af854a3a-2127-422b-91ae-364da2661108
18	http://www.openwall.com/lists/oss-security/2009/12/02/2	af854a3a-2127-422b-91ae-364da2661108
19	http://www.rorsecurity.info/journal/2008/11/19/circumvent-rails-csrf-protection.html	af854a3a-2127-422b-91ae-364da2661108
20	http://www.vupen.com/english/advisories/2009/2544	af854a3a-2127-422b-91ae-364da2661108

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-20	不適切な入力確認	https://cwe.mitre.org/data/definitions/20.html