Апублікаваны якія карэктуюць абнаўленні фрэймворка Ruby on Rails 7.0.4.1, 6.1.7.1 і 6.0.6.1, у якіх ухілена 6 уразлівасцяў. Найбольш небяспечная ўразлівасць (CVE-2023-22794) можа прывесці да выканання зададзеных атакавалым SQL-каманд пры выкарыстанні вонкавых дадзеных у каментарах, апрацоўваных у ActiveRecord. Праблема выклікана адсутнасцю неабходнага экранавання спецзнакаў у каментарах перад іх захаваннем у СКБД.
Другая ўразлівасць (CVE-2023-22797) можа прымяняцца да арганізацыі пракіду на іншыя старонкі (адкрыты рэдырэкт) пры выкарыстанні неправераных знешніх дадзеных у апрацоўшчыку redirect_to. Астатнія 4 уразлівасці прыводзяць да адмовы ў абслугоўванні з-за стварэння высокай нагрузкі на сістэму (у асноўным з-за апрацоўкі вонкавых дадзеных у неэфектыўных і доўга выкананых рэгулярных выразах).
Крыніца: opennet.ru