Ua paʻi ʻia nā hoʻoponopono hoʻoponopono i ka Ruby on Rails framework 7.0.4.1, 6.1.7.1 a me 6.0.6.1, kahi i hoʻopaʻa ʻia ai 6 mau nāwaliwali. ʻO ka nāwaliwali loa (CVE-2023-22794) hiki ke alakaʻi i ka hoʻokō ʻana i nā kauoha SQL i kuhikuhi ʻia e ka mea hoʻouka i ka wā e hoʻohana ai i ka ʻikepili waho i nā manaʻo i hoʻoponopono ʻia ma ActiveRecord. Hoʻokumu ʻia ka pilikia ma muli o ka nele o ka pakele ʻana o nā huaʻōlelo kūikawā i nā manaʻo ma mua o ka mālama ʻana iā lākou i ka DBMS.
Hiki ke hoʻohana ʻia ka lua o ka nāwaliwali (CVE-2023-22797) i ka hoʻouna ʻana i nā ʻaoʻao ʻē aʻe (open redirect) i ka wā e hoʻohana ai i ka ʻikepili waho i hōʻoia ʻole ʻia i ka redirect_to handler. ʻO ke koena o 4 mau nāwaliwali e alakaʻi i ka hōʻole ʻana i ka lawelawe ma muli o ka haʻahaʻa kiʻekiʻe o ka ʻōnaehana (ma muli o ka hoʻoili ʻana i nā ʻikepili o waho i nā ʻōlelo maʻamau ʻole a me ka manawa.
Source: opennet.ru