Ang corrective updates sa Ruby on Rails framework 7.0.4.1, 6.1.7.1 ug 6.0.6.1 na-publish na, diin 6 ka vulnerabilities ang giayo. Ang labing delikado nga kahuyang (CVE-2023-22794) mahimong mosangpot sa pagpatuman sa mga SQL commands nga gipiho sa tig-atake sa dihang naggamit sa external data sa mga komento nga giproseso sa ActiveRecord. Ang problema tungod sa kakulang sa gikinahanglan nga pag-ikyas sa mga espesyal nga karakter sa mga komento sa wala pa kini i-save sa DBMS.
Ang ikaduha nga kahuyang (CVE-2023-22797) mahimong magamit sa pagpasa sa ubang mga panid (bukas nga pag-redirect) kung gamiton ang wala mapamatud-an nga eksternal nga datos sa redirect_to handler. Ang nahabilin nga 4 nga mga kahuyangan nagdala sa pagdumili sa serbisyo tungod sa taas nga pagkarga sa sistema (panguna tungod sa pagproseso sa eksternal nga datos sa dili maayo ug makagugol sa oras nga regular nga mga ekspresyon).
Source: opennet.ru