2020/09/10分のコミットです。
CHANGELOGへの追加はありませんでした。
Merge pull request from GHSA-cfjv-5498-mph5
actionview/lib/action_view/helpers/translation_helper.rb
の修正です。
translate
メソッドのdefault
オプションに指定した値が、誤ってHTML-safeと見なされてしまう(escape処理が行われない)バグがあったのを修正しています。
そのため、下記のように、translation
(t
)メソッドのdefault
オプションに、ユーザが入力した値をそのまま使用すると、XSSが出来てしまう可能性があります。
<%# The welcome_html translation is not defined for the current locale: %> <%= t("welcome_html", default: untrusted_user_controlled_string) %>
参考: [CVE-2020-15169] Potential XSS vulnerability in Action View
Update Minitest to allow installation with Ruby 3.
Gemfile.lock
の修正です。
Minitestのバージョンを5.14.2に更新しています。Ruby 3.0で使用出来るようにする為。