Pembaruan korektif pada kerangka Ruby on Rails 7.0.4.1, 6.1.7.1 dan 6.0.6.1 telah dipublikasikan, memperbaiki 6 kerentanan. Kerentanan paling berbahaya (CVE-2023-22794) dapat menyebabkan eksekusi perintah SQL yang ditentukan oleh penyerang saat menggunakan data eksternal dalam komentar yang diproses di ActiveRecord. Masalah ini disebabkan oleh kurangnya pelolosan karakter khusus dalam komentar sebelum disimpan dalam DBMS.
Kerentanan kedua (CVE-2023-22797) dapat diterapkan untuk meneruskan ke halaman lain (pengalihan terbuka) saat menggunakan data eksternal yang belum diverifikasi di pengendali redirect_to. 4 kerentanan lainnya menyebabkan penolakan layanan karena terciptanya beban tinggi pada sistem (terutama karena pemrosesan data eksternal dalam ekspresi reguler yang tidak efisien dan berjalan lama).
Sumber: opennet.ru