Chaidh ùrachadh ceart air frèam Ruby on Rails 7.0.4.1, 6.1.7.1 agus 6.0.6.1 fhoillseachadh, anns a bheil so-leòntachd 6 stèidhichte. Faodaidh an so-leòntachd as cunnartaiche (CVE-2023-22794) leantainn gu coileanadh òrdughan SQL a chaidh a shònrachadh leis an neach-ionnsaigh nuair a bhios e a’ cleachdadh dàta bhon taobh a-muigh ann am beachdan a chaidh a phròiseasadh ann an ActiveRecord. Tha an duilgheadas air adhbhrachadh leis nach eil feum air teicheadh bho charactaran sònraichte ann am beachdan mus sàbhail iad iad san DBMS.
Faodar an dàrna so-leòntachd (CVE-2023-22797) a chuir an sàs ann a bhith a’ cur air adhart gu duilleagan eile (ath-sheòladh fosgailte) nuair a bhios tu a’ cleachdadh dàta taobh a-muigh neo-dhearbhte san làimhseachadh ath-sheòlaidh. Tha na 4 so-leòntachd a tha air fhàgail a’ leantainn gu diùltadh seirbheis mar thoradh air an luchd àrd air an t-siostam (gu sònraichte mar thoradh air a bhith a’ giullachd dàta bhon taobh a-muigh ann an abairtean cunbhalach neo-èifeachdach agus ùineail).
Source: fosgailtenet.ru