Έχουν δημοσιευτεί διορθωτικές ενημερώσεις στο πλαίσιο Ruby on Rails 7.0.4.1, 6.1.7.1 και 6.0.6.1, στο οποίο έχουν επιδιορθωθεί 6 ευπάθειες. Η πιο επικίνδυνη ευπάθεια (CVE-2023-22794) μπορεί να οδηγήσει στην εκτέλεση εντολών SQL που καθορίζονται από τον εισβολέα κατά τη χρήση εξωτερικών δεδομένων σε σχόλια που υποβάλλονται σε επεξεργασία στο ActiveRecord. Το πρόβλημα προκαλείται από την έλλειψη απαραίτητης διαφυγής ειδικών χαρακτήρων στα σχόλια πριν την αποθήκευση τους στο DBMS.
Η δεύτερη ευπάθεια (CVE-2023-22797) μπορεί να εφαρμοστεί στην προώθηση σε άλλες σελίδες (ανοιχτή ανακατεύθυνση) όταν χρησιμοποιείτε μη επαληθευμένα εξωτερικά δεδομένα στο πρόγραμμα χειρισμού redirect_to. Τα υπόλοιπα 4 τρωτά σημεία οδηγούν σε άρνηση εξυπηρέτησης λόγω του υψηλού φόρτου του συστήματος (κυρίως λόγω επεξεργασίας εξωτερικών δεδομένων σε αναποτελεσματικές και χρονοβόρες κανονικές εκφράσεις).
Πηγή: opennet.ru