Plataforma
ruby
Componente
actionview
Corregido en
8.1.1
8.0.1
7.2.4
8.1.2.1
La vulnerabilidad CVE-2026-33168 es una falla de Cross-Site Scripting (XSS) en Action View, el motor de plantillas de Ruby on Rails. Esta falla se produce cuando se utiliza una cadena vacía como nombre de atributo HTML en los helpers de Action View, lo que permite eludir el escape de atributos HTML. Esto podría permitir a un atacante inyectar código malicioso en la página web, afectando a versiones de Ruby on Rails hasta la 8.1.2. Una actualización a la versión 8.1.2.1 resuelve este problema.
Esta vulnerabilidad permite a un atacante inyectar código JavaScript malicioso en la página web. Si un usuario visita una página web vulnerable, el código inyectado se ejecutará en su navegador, permitiendo al atacante robar información sensible, como cookies de sesión, o realizar acciones en nombre del usuario. La gravedad de esta vulnerabilidad depende de la sensibilidad de la información que se maneja en la aplicación y de los privilegios del usuario afectado. En aplicaciones que permiten a los usuarios especificar atributos HTML personalizados, el riesgo es significativamente mayor, ya que facilita la inyección del código malicioso. Un atacante podría explotar esta vulnerabilidad para realizar ataques de phishing, redirigir a los usuarios a sitios web maliciosos o modificar el contenido de la página web.
Esta vulnerabilidad fue reportada de forma responsable por el investigador de Hackerone [taise]. No se han reportado casos de explotación activa en entornos de producción. La vulnerabilidad se considera de baja severidad debido al CVSS score de 2.5 y la necesidad de una configuración específica de la aplicación para ser explotada. La vulnerabilidad ha sido publicada en el NVD el 2026-03-23.
Applications built with Ruby on Rails that allow users to specify custom HTML attributes are particularly at risk. This includes web applications that utilize rich text editors, form builders, or any other component that allows users to define HTML content. Legacy Rails applications running older, unpatched versions are also a significant concern.
• ruby / server:
# Check for vulnerable versions
ruby -v• ruby / server:
gem list actionview | grep '8.1.2' # Check if Action View version is vulnerable• ruby / server:
# Review application code for instances where user-provided data is used directly in HTML attributes without proper sanitization.disclosure
Estado del Exploit
EPSS
0.02% (6% percentil)
CISA SSVC
La mitigación principal para esta vulnerabilidad es actualizar a la versión 8.1.2.1 de Ruby on Rails. Si la actualización no es inmediatamente posible, se recomienda revisar el código de la aplicación en busca de lugares donde se utilizan cadenas vacías como nombres de atributos HTML. Se debe implementar una validación estricta de los nombres de los atributos para evitar el uso de cadenas vacías. Además, se puede considerar el uso de un Web Application Firewall (WAF) para filtrar el tráfico malicioso y bloquear los intentos de explotación. La configuración del WAF debe incluir reglas que detecten y bloqueen la inyección de código JavaScript en los nombres de los atributos HTML.
Actualice Rails a la versión 8.1.2.1, 8.0.4.1 o 7.2.3.1, o superior, según corresponda a su rama de versión. Esto corrige la vulnerabilidad XSS en Action View.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-33168 is a cross-site scripting (XSS) vulnerability in Ruby on Rails Action View, affecting versions up to 8.1.2. It allows attackers to bypass attribute escaping by using blank strings in HTML attributes.
You are affected if you are using Ruby on Rails versions 8.1.2 or earlier and your application allows users to specify custom HTML attributes.
Upgrade to Ruby on Rails version 8.1.2.1 or later to remediate the vulnerability. Implement input validation as a temporary workaround if immediate upgrade is not possible.
Currently, there are no publicly known active exploits, but the potential for exploitation exists, especially in vulnerable applications.
Refer to the official Ruby on Rails security advisories for detailed information and updates: [https://github.com/rails/rails/security/advisories](https://github.com/rails/rails/security/advisories)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo Gemfile.lock y te decimos al instante si estás afectado.