关键漏洞信息 漏洞名称: Cross-site Request Forgery (CSRF) Vulnerability in the rails_admin library 漏洞ID: SRCCLR-SID-3173 CVE编号: CVE-2016-10522 CVSS评分: - v2: 6.8 (Medium) - v3: 8.8 (High) 受影响的库: rails_admin、resolution、author、browse-everything等44个库 漏洞描述: rails_admin等库由于控制器没有验证CSRF令牌,导致非GET方法的请求易受CSRF攻击。 修复建议: 将rails_admin库升级到安全版本,例如3.3.0或更高版本。 库修复信息 漏洞版本范围: 0.6.8 - 1.1.0 安全版本: 3.3.0、3.2.1、3.2.0、3.2.0.rc、3.2.0.beta、3.1.4、3.1.3、3.1.2、3.0.0、2.3.1、2.3.0、2.2.1、2.2.0、2.1.1、2.1.0、2.0.2、2.0.0.beta、1.4.3、1.4.2、1.4.1、1.4.0等。 Ruby Gems修复代码 参考链接 Vendor Disclosure GitHub Fix Commit - Rails_admin Blog Post - Rails_admin Vulnerability Disclosure Blog Post - Rails GEMS Vulnerable to CSRF GitHub Fix Commit - Redde