今年の2月末に、Ruby on Railsに潜在的なリモートスクリプトインジェクションの脆弱性CVE-2016-2098が報告されています。攻撃コード(PoC)も公開されていますが、現実の攻撃が行われているという発表はないようです。この脆弱性の内容と対策について報告いたします。 背景 Hello Worldのような以下のシンプルなアプリケーション(コントローラ)を考えます。 class HelloController < ApplicationController def index render 'hello/hello' end end これに対するテンプレート hello/hello.html.erb は以下だとします。 <div>Hello world</div> ご覧のように、上記テンプレートを指定した場合、Hello worldが表示されます。 次に、以下のテンプレート hel
![Ruby on Railsの潜在的なリモートスクリプトインジェクション脆弱性CVE-2016-2098](https://cdn-ak-scissors.b.st-hatena.com/image/square/0f45b0d22e353dcc272d572a6a1b3973d6fce7b3/height=288;version=1;width=512/https%3A%2F%2F3.bp.blogspot.com%2F-KCduQGLIWFQ%2FV07gmwm1p6I%2FAAAAAAAAOBM%2FJQETooXcJOgnH9Rr5F3RI-7QTdN9yLQ-wCLcB%2Fw1200-h630-p-k-no-nu%2Frails001.png)