રૂબી ઓન રેલ્સમાં SQL અવેજી નબળાઈ નિશ્ચિત

રૂબી ઓન રેલ્સ ફ્રેમવર્ક 7.0.4.1, 6.1.7.1 અને 6.0.6.1 માટે સુધારાત્મક અપડેટ્સ પ્રકાશિત કરવામાં આવ્યા છે, જેમાં 6 નબળાઈઓ નિશ્ચિત છે. સૌથી ખતરનાક નબળાઈ (CVE-2023-22794) ActiveRecord માં પ્રક્રિયા કરાયેલ ટિપ્પણીઓમાં બાહ્ય ડેટાનો ઉપયોગ કરતી વખતે હુમલાખોર દ્વારા ઉલ્લેખિત SQL આદેશોના અમલ તરફ દોરી શકે છે. ડીબીએમએસમાં તેમને સાચવતા પહેલા ટિપ્પણીઓમાં વિશિષ્ટ અક્ષરોના જરૂરી એસ્કેપિંગના અભાવને કારણે સમસ્યા ઊભી થાય છે.

બીજી નબળાઈ (CVE-2023-22797) રીડાયરેક્ટ_ટુ હેન્ડલરમાં વણચકાસાયેલ બાહ્ય ડેટાનો ઉપયોગ કરતી વખતે અન્ય પૃષ્ઠો (ઓપન રીડાયરેક્ટ) પર ફોરવર્ડ કરવા માટે લાગુ કરી શકાય છે. બાકીની 4 નબળાઈઓ સિસ્ટમ પરના ઊંચા ભારને કારણે સેવાને નકારવા તરફ દોરી જાય છે (મુખ્યત્વે બિનકાર્યક્ષમ અને સમય લેતી નિયમિત અભિવ્યક્તિઓમાં બાહ્ય ડેટાની પ્રક્રિયાને કારણે).

સોર્સ: opennet.ru