fix: especificar qué parametros de airbrake permitimos #14956

app/controllers/api/v1/notices_controller.rb

@@ -9,10 +9,10 @@ module Api
       # Generar un stacktrace en segundo plano y enviarlo por correo
       # solo si la API key es verificable.  Del otro lado siempre
       # respondemos con lo mismo.
-      def create 
+      def create
         if (site&.airbrake_valid? airbrake_token) && !detected_device.bot?
           BacktraceJob.perform_later site_id: params[:site_id],
-            params: airbrake_params.to_h 
+                                     params: airbrake_params.to_h
         end
 
         render status: 201, json: { id: 1, url: '' }
@@ -23,7 +23,39 @@ module Api
       # XXX: Por alguna razón Airbrake envía los datos con Content-Type:
       # text/plain.
       def airbrake_params
-        @airbrake_params ||= params.merge!(FastJsonparser.parse(request.raw_post) || {}).permit!
+        @airbrake_params ||=
+          params.merge!(FastJsonparser.parse(request.raw_post) || {})
+                .permit(
+                  {
+                    errors: [
+                      :type,
+                      :message,
+                      { backtrace: %i[file line column function] }
+                    ]
+                  },
+                  {
+                    context: [
+                      :url,
+                      :language,
+                      :severity,
+                      :userAgent,
+                      :windowError,
+                      :rootDirectory,
+                      {
+                        history: [
+                          :date,
+                          :type,
+                          :severity,
+                          :target,
+                          :method,
+                          :duration,
+                          :statusCode,
+                          { arguments: [] }
+                        ]
+                      }
+                    ]
+                  }
+                )
       end
 
       def site