Megjelent a Ruby on Rails keretrendszer 7.0.4.1, 6.1.7.1 és 6.0.6.1 javító frissítése, amelyben 6 sérülékenységet javítottak ki. A legveszélyesebb biztonsági rés (CVE-2023-22794) a támadó által megadott SQL-parancsok végrehajtásához vezethet, ha külső adatokat használ az ActiveRecord-ban feldolgozott megjegyzésekben. A problémát az okozza, hogy a megjegyzésekben nem szükséges a speciális karakterek menekülése a DBMS-be történő mentés előtt.
A második biztonsági rés (CVE-2023-22797) alkalmazható más oldalakra való továbbításra (nyílt átirányítás), ha ellenőrizetlen külső adatokat használnak az átirányítás_to kezelőben. A fennmaradó 4 sebezhetőség szolgáltatásmegtagadáshoz vezet a rendszer nagy terhelése miatt (főleg a külső adatok nem hatékony és időigényes reguláris kifejezésekkel történő feldolgozása miatt).
Forrás: opennet.ru