በ Ruby on Rails ማዕቀፍ 7.0.4.1፣ 6.1.7.1 እና 6.0.6.1 ላይ የተስተካከሉ ማሻሻያዎች ታትመዋል፣ በዚህ ውስጥ 6 ተጋላጭነቶች ተስተካክለዋል። በጣም አደገኛው ተጋላጭነት (CVE-2023-22794) በActiveRecord ውስጥ በተሰሩ አስተያየቶች ውስጥ ውጫዊ ውሂብን ሲጠቀሙ በአጥቂው የተገለጹትን የSQL ትዕዛዞችን ወደ አፈፃፀም ሊያመራ ይችላል። ችግሩ የተፈጠረው በዲቢኤምኤስ ውስጥ ከማስቀመጥዎ በፊት በአስተያየቶች ውስጥ ልዩ ቁምፊዎችን አስፈላጊ ማምለጥ ባለመኖሩ ነው።
ሁለተኛው ተጋላጭነት (CVE-2023-22797) ወደ ሌሎች ገፆች ለማስተላለፍ (ክፍት ማዘዋወር) ሊተገበር የሚችለው ያልተረጋገጠ የውጭ መረጃን በ redirect_to ተቆጣጣሪ ውስጥ ሲጠቀሙ ነው። ቀሪዎቹ 4 ድክመቶች በሲስተሙ ላይ ባለው ከፍተኛ ጭነት (በዋነኛነት ውጫዊ መረጃን ውጤታማ ባልሆነ እና ጊዜ የሚወስድ መደበኛ መግለጫዎችን በማቀነባበር) አገልግሎትን ወደ ውድቅ ያመራሉ ።
ምንጭ: opennet.ru