パッチリリースログの日本語訳に挑戦してみる。 [CVE-2016-6316] Possible XSS Vulnerability in Action View - Google グループ https://groups.google.com/forum/#!topic/ruby-security-ann/8B2iV2tPRSE Action Viewで可能なXSS脆弱性がありました。 HTML safeとして宣言されたテキストをタグヘルパーの属性値として使った時に、クオートがエスケープされていませんでした。 再現するバージョン: 3.0.0 以上 再現しないバージョン: 3.0.0 未満 修正後のバージョン: 5.0.0.1, 4.2.7.1, 3.2.22.3 脆弱性を持つコードは次の通り: content_tag(:div, "hi", title: user_input.html_s