thoughtbotのRuby on Rails向けライブラリのPaperclipにクロスサイトスクリプティングの脆弱性が確認された。影響を受けるのはPaperclip 4.2.1とそれ以前で、HTMLファイルが.htmlの拡張子でアップロードされている場合で、コンテンツタイプがimageやjpegでリストされている場合、画像の認証検証をバイパスする。また、ファイルネームが .htmlでHTMLを含んでいる場合、スプーフィングチェックを通過する。この脆弱性が悪用されると、ユーザのウェブブラウザ上で任意のスクリプトを実行される恐れがある。解決策として、paperclip v4.2.2.が公開されており、アップデートによりこの脆弱性は解消される。
