Korrigerende opdateringer til Ruby on Rails framework 7.0.4.1, 6.1.7.1 og 6.0.6.1 er blevet offentliggjort, hvor 6 sårbarheder er rettet. Den farligste sårbarhed (CVE-2023-22794) kan føre til udførelse af SQL-kommandoer specificeret af angriberen ved brug af eksterne data i kommentarer behandlet i ActiveRecord. Problemet er forårsaget af manglen på nødvendig escape af specialtegn i kommentarer, før de gemmes i DBMS.
Den anden sårbarhed (CVE-2023-22797) kan anvendes til videresendelse til andre sider (åben omdirigering), når der bruges uverificerede eksterne data i redirect_to-handleren. De resterende 4 sårbarheder fører til lammelsesangreb på grund af den høje belastning på systemet (hovedsageligt på grund af behandling af eksterne data i ineffektive og tidskrævende regulære udtryk).
Kilde: opennet.ru