Ruby on Rails -kehyksen 7.0.4.1, 6.1.7.1 ja 6.0.6.1 korjaavat päivitykset on julkaistu, joissa 6 haavoittuvuutta on korjattu. Vaarallisin haavoittuvuus (CVE-2023-22794) voi johtaa hyökkääjän määrittämien SQL-komentojen suorittamiseen käytettäessä ulkoisia tietoja ActiveRecordissa käsitellyissä kommenteissa. Ongelma johtuu siitä, että kommenteissa ei ole pakollisia erikoismerkkejä ennen niiden tallentamista DBMS:ään.
Toista haavoittuvuutta (CVE-2023-22797) voidaan soveltaa edelleenlähetykseen muille sivuille (avoin uudelleenohjaus), kun redirect_to-käsittelijässä käytetään vahvistamattomia ulkoisia tietoja. Loput 4 haavoittuvuutta johtavat palvelunestoon järjestelmän suuren kuormituksen vuoksi (johtuen pääasiassa ulkoisten tietojen käsittelystä tehottomilla ja aikaa vievillä säännöllisillä lausekkeilla).
Lähde: opennet.ru