Avaldatud on Ruby on Rails raamistiku 7.0.4.1, 6.1.7.1 ja 6.0.6.1 korrigeerivad uuendused, milles parandatakse 6 turvaauku. Kõige ohtlikum haavatavus (CVE-2023-22794) võib viia ründaja määratud SQL-käskude täitmiseni, kui kasutatakse ActiveRecordis töödeldud kommentaarides väliseid andmeid. Probleemi põhjustab see, et kommentaarides pole enne DBMS-i salvestamist vaja erimärkidest põgeneda.
Teist haavatavust (CVE-2023-22797) saab rakendada teistele lehtedele suunamisel (avatud ümbersuunamine), kui kasutate töötleja redirect_to kontrollimata välisandmeid. Ülejäänud 4 haavatavust viivad teenuse keelamiseni süsteemi suure koormuse tõttu (peamiselt välisandmete ebaefektiivsete ja aeganõudvate regulaaravaldiste töötlemise tõttu).
Allikas: opennet.ru