Plataforma
ruby
Componente
actionpack
Corregido en
8.1.1
8.1.2.1
El CVE-2026-33167 describe una vulnerabilidad de Cross-Site Scripting (XSS) en Actionpack, una parte del framework Ruby on Rails. Un atacante puede inyectar código HTML y JavaScript malicioso en la página de excepciones de depuración, comprometiendo la seguridad de la aplicación. Esta vulnerabilidad afecta a versiones de Actionpack menores o iguales a 8.1.2 y se ha solucionado en la versión 8.1.2.1.
La vulnerabilidad radica en la falta de escape adecuado de los mensajes de excepción en la página de excepciones de depuración de Actionpack. Esta página se activa cuando config.considerallrequests_local = true está habilitado, lo cual es la configuración predeterminada en entornos de desarrollo. Un atacante puede crear una excepción con un mensaje especialmente diseñado que contenga código HTML o JavaScript malicioso. Cuando se muestra esta excepción en la página de depuración, el código malicioso se ejecuta en el navegador del usuario, permitiendo al atacante robar cookies, redirigir al usuario a sitios web maliciosos o realizar otras acciones dañinas en nombre del usuario. La severidad es baja debido a que la configuración predeterminada solo está habilitada en desarrollo, limitando el impacto potencial en producción.
Este CVE fue reportado de forma responsable por el investigador de Hackerone [fbettag]. No se han reportado casos de explotación activa en entornos de producción. La vulnerabilidad se considera de baja probabilidad de explotación debido a la configuración predeterminada de config.considerallrequests_local en producción. El CVE fue publicado el 2026-03-23.
Development teams using Ruby on Rails versions 8.1.2 and earlier are at risk. Specifically, applications configured with detailed exception pages enabled in development environments are particularly vulnerable. This includes developers working on new Rails projects or maintaining existing ones.
• ruby / server:
grep -r "config.consider_all_requests_local = true" config/environments/*.rb• ruby / application code:
grep -r "exception_app.html.erb" app/views/exceptions/disclosure
patch
Estado del Exploit
EPSS
0.02% (5% percentil)
CISA SSVC
La mitigación principal para esta vulnerabilidad es actualizar a la versión 8.1.2.1 de Actionpack o superior, que incluye la corrección. Si la actualización no es inmediatamente posible, deshabilitar temporalmente la página de excepciones de depuración estableciendo config.considerallrequests_local = false en el entorno de producción. Esta acción reducirá la superficie de ataque, pero no elimina completamente la vulnerabilidad. Implementar una política de seguridad de contenido (CSP) también puede ayudar a mitigar el impacto de cualquier XSS que pueda ocurrir. Verifique la correcta actualización revisando los logs de la aplicación después de la actualización para asegurar que no haya errores relacionados con el manejo de excepciones.
Actualice la gema Action Pack a la versión 8.1.2.1 o superior. Esto solucionará la vulnerabilidad XSS en la página de excepciones de depuración. Asegúrese de tener habilitadas las páginas de excepciones detalladas (`config.consider_all_requests_local = true`) solo en entornos de desarrollo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-33167 is a cross-site scripting (XSS) vulnerability in Ruby on Rails Actionpack versions up to 8.1.2, allowing attackers to inject malicious code via crafted exception messages.
You are affected if you are using Ruby on Rails Actionpack version 8.1.2 or earlier and have detailed exception pages enabled in your development environment.
Upgrade to Ruby on Rails Actionpack version 8.1.2.1 or later. Alternatively, disable detailed exception pages in development by setting config.considerallrequests_local = false.
There are currently no indications of active exploitation campaigns targeting CVE-2026-33167.
Refer to the official Ruby on Rails security advisories at [https://github.com/rails/rails/security/advisories](https://github.com/rails/rails/security/advisories) for details.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo Gemfile.lock y te decimos al instante si estás afectado.