Ruby on Rails フレームワーク 7.0.4.1、6.1.7.1、および 6.0.6.1 の修正アップデートが公開されており、6 件の脆弱性が修正されています。 最も危険な脆弱性 (CVE-2023-22794) は、ActiveRecord で処理されるコメント内で外部データを使用するときに、攻撃者が指定した SQL コマンドの実行につながる可能性があります。 この問題は、コメント内の特殊文字を DBMS に保存する前に必要なエスケープが行われていないことが原因で発生します。
2023 番目の脆弱性 (CVE-22797-4) は、redirect_to ハンドラーで未検証の外部データを使用する場合の他のページへの転送 (オープン リダイレクト) に適用される可能性があります。 残りの XNUMX つの脆弱性は、システムの高負荷 (主に非効率で時間のかかる正規表現で外部データを処理することによる) によりサービス拒否につながります。
出所: オープンネット.ru