Korrektiewe opdaterings aan die Ruby on Rails-raamwerk 7.0.4.1, 6.1.7.1 en 6.0.6.1 is gepubliseer, waarin 6 kwesbaarhede reggestel is. Die gevaarlikste kwesbaarheid (CVE-2023-22794) kan lei tot die uitvoering van SQL-opdragte wat deur die aanvaller gespesifiseer word wanneer eksterne data gebruik word in opmerkings wat in ActiveRecord verwerk word. Die probleem word veroorsaak deur die gebrek aan die nodige ontsnapping van spesiale karakters in opmerkings voordat dit in die DBBS gestoor word.
Die tweede kwesbaarheid (CVE-2023-22797) kan toegepas word op aanstuur na ander bladsye (oop herleiding) wanneer ongeverifieerde eksterne data in die redirect_to-hanteerder gebruik word. Die oorblywende 4 kwesbaarhede lei tot ontkenning van diens as gevolg van die hoΓ« las op die stelsel (hoofsaaklik as gevolg van die verwerking van eksterne data in ondoeltreffende en tydrowende gereelde uitdrukkings).
Bron: opennet.ru