Korrigearjende fernijings foar it Ruby on Rails-ramt 7.0.4.1, 6.1.7.1 en 6.0.6.1 binne publisearre, wêryn 6-kwetsberheden fêst binne. De gefaarlikste kwetsberens (CVE-2023-22794) kin liede ta de útfiering fan SQL-kommando's opjûn troch de oanfaller by it brûken fan eksterne gegevens yn opmerkings ferwurke yn ActiveRecord. It probleem wurdt feroarsake troch it ûntbrekken fan needsaaklike ûntsnapping fan spesjale tekens yn opmerkings foardat se yn 'e DBMS opslein wurde.
De twadde kwetsberens (CVE-2023-22797) kin tapast wurde foar trochstjoeren nei oare siden (iepen trochferwizing) by it brûken fan net ferifiearre eksterne gegevens yn 'e redirect_to-handler. De oerbleaune 4-kwetsberheden liede ta tsjinstferliening troch de hege lêst op it systeem (benammen troch it ferwurkjen fan eksterne gegevens yn ineffisjinte en tiidslinend reguliere útdrukkingen).
Boarne: opennet.ru