"value":"view_component is a framework for building reusable, testable, and encapsulated view components in Ruby on Rails. Versions prior to 3.9.0 and 2.83.0 have a cross-site scripting vulnerability that has the potential to impact anyone rendering a component directly from a controller with the view_component gem. Note that only components that define a `#call` method (i.e. instead of using a sidecar template) are affected. The return value of the `#call` method is not sanitized and can include user-defined content. In addition, the return value of the `#output_postamble` methodis not sanitized, which can also lead to cross-site scripting issues. Versions 3.9.0 and 2.83.0 have been released and fully mitigate both the `#call` and the `#output_postamble` vulnerabilities. As a workaround, sanitize the return value of `#call`."
},
{
"lang":"es",
"value":"view_component es un framework para crear componentes de vista reutilizables, comprobables y encapsulados en Ruby on Rails. Las versiones anteriores a la 3.9.0 tienen una vulnerabilidad de cross site scripting que tiene el potencial de afectar a cualquiera que renderice un componente directamente desde un controlador con la gema view_component. Tenga en cuenta que s\u00f3lo se ven afectados los componentes que definen un m\u00e9todo `#call` (es decir, en lugar de utilizar una plantilla complementaria). El valor de retorno del m\u00e9todo `#call` no est\u00e1 sanitizado y puede incluir contenido definido por el usuario. Adem\u00e1s, el valor de retorno del m\u00e9todo `#output_postamble` no est\u00e1 sanitizado, lo que tambi\u00e9n puede provocar problemas de cross site scripting. Se lanz\u00f3 la versi\u00f3n 3.9.0 y mitiga por completo las vulnerabilidades `#call` y `#output_postamble`. Como workaround, sanitice valor de retorno de `#call`."
