ΠΡΠ±Π»ΠΈΠΊΡΠ²Π°Π½ΠΈ ΡΠ° ΠΊΠΎΡΠΈΠ³ΠΈΡΠ°ΡΠΈ Π°ΠΊΡΡΠ°Π»ΠΈΠ·Π°ΡΠΈΠΈ Π½Π° Ruby on Rails framework 7.0.4.1, 6.1.7.1 ΠΈ 6.0.6.1, Π² ΠΊΠΎΠΈΡΠΎ ΡΠ° ΠΊΠΎΡΠΈΠ³ΠΈΡΠ°Π½ΠΈ 6 ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠΈ. ΠΠ°ΠΉ-ΠΎΠΏΠ°ΡΠ½Π°ΡΠ° ΡΡΠ·Π²ΠΈΠΌΠΎΡΡ (CVE-2023-22794) ΠΌΠΎΠΆΠ΅ Π΄Π° Π΄ΠΎΠ²Π΅Π΄Π΅ Π΄ΠΎ ΠΈΠ·ΠΏΡΠ»Π½Π΅Π½ΠΈΠ΅ Π½Π° SQL ΠΊΠΎΠΌΠ°Π½Π΄ΠΈ, Π·Π°Π΄Π°Π΄Π΅Π½ΠΈ ΠΎΡ Π°ΡΠ°ΠΊΡΠ²Π°ΡΠΈΡ ΠΏΡΠΈ ΠΈΠ·ΠΏΠΎΠ»Π·Π²Π°Π½Π΅ Π½Π° Π²ΡΠ½ΡΠ½ΠΈ Π΄Π°Π½Π½ΠΈ Π² ΠΊΠΎΠΌΠ΅Π½ΡΠ°ΡΠΈ, ΠΎΠ±ΡΠ°Π±ΠΎΡΠ΅Π½ΠΈ Π² ActiveRecord. ΠΡΠΎΠ±Π»Π΅ΠΌΡΡ ΡΠ΅ Π΄ΡΠ»ΠΆΠΈ Π½Π° Π»ΠΈΠΏΡΠ°ΡΠ° Π½Π° Π½Π΅ΠΎΠ±Ρ ΠΎΠ΄ΠΈΠΌΠΎΡΠΎ Π΅ΠΊΡΠ°Π½ΠΈΡΠ°Π½Π΅ Π½Π° ΡΠΏΠ΅ΡΠΈΠ°Π»Π½ΠΈ Π·Π½Π°ΡΠΈ Π² ΠΊΠΎΠΌΠ΅Π½ΡΠ°ΡΠΈΡΠ΅, ΠΏΡΠ΅Π΄ΠΈ Π΄Π° Π±ΡΠ΄Π°Ρ Π·Π°ΠΏΠΈΡΠ°Π½ΠΈ Π² Π‘Π£ΠΠ.
ΠΡΠΎΡΠ°ΡΠ° ΡΡΠ·Π²ΠΈΠΌΠΎΡΡ (CVE-2023-22797) ΠΌΠΎΠΆΠ΅ Π΄Π° ΡΠ΅ ΠΏΡΠΈΠ»ΠΎΠΆΠΈ Π·Π° ΠΏΡΠ΅ΠΏΡΠ°ΡΠ°Π½Π΅ ΠΊΡΠΌ Π΄ΡΡΠ³ΠΈ ΡΡΡΠ°Π½ΠΈΡΠΈ (ΠΎΡΠ²ΠΎΡΠ΅Π½ΠΎ ΠΏΡΠ΅Π½Π°ΡΠΎΡΠ²Π°Π½Π΅), ΠΊΠΎΠ³Π°ΡΠΎ ΡΠ΅ ΠΈΠ·ΠΏΠΎΠ»Π·Π²Π°Ρ Π½Π΅ΠΏΡΠΎΠ²Π΅ΡΠ΅Π½ΠΈ Π²ΡΠ½ΡΠ½ΠΈ Π΄Π°Π½Π½ΠΈ Π² ΠΌΠ°Π½ΠΈΠΏΡΠ»Π°ΡΠΎΡΠ° redirect_to. ΠΡΡΠ°Π½Π°Π»ΠΈΡΠ΅ 4 ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠΈ Π²ΠΎΠ΄ΡΡ Π΄ΠΎ ΠΎΡΠΊΠ°Π· Π½Π° ΡΡΠ»ΡΠ³Π° ΠΏΠΎΡΠ°Π΄ΠΈ Π³ΠΎΠ»ΡΠΌΠΎΡΠΎ Π½Π°ΡΠΎΠ²Π°ΡΠ²Π°Π½Π΅ Π½Π° ΡΠΈΡΡΠ΅ΠΌΠ°ΡΠ° (ΠΎΡΠ½ΠΎΠ²Π½ΠΎ ΠΏΠΎΡΠ°Π΄ΠΈ ΠΎΠ±ΡΠ°Π±ΠΎΡΠΊΠ° Π½Π° Π²ΡΠ½ΡΠ½ΠΈ Π΄Π°Π½Π½ΠΈ Π² Π½Π΅Π΅ΡΠ΅ΠΊΡΠΈΠ²Π½ΠΈ ΠΈ ΠΎΡΠ½Π΅ΠΌΠ°ΡΠΈ Π²ΡΠ΅ΠΌΠ΅ ΡΠ΅Π³ΡΠ»ΡΡΠ½ΠΈ ΠΈΠ·ΡΠ°Π·ΠΈ).
ΠΠ·ΡΠΎΡΠ½ΠΈΠΊ: opennet.ru