7.0.4.1 осалдықты түзететін Ruby on Rails 6.1.7.1, 6.0.6.1 және 6 фреймворкінің түзететін жаңартулары жарияланды. Ең қауіпті осалдық (CVE-2023-22794) ActiveRecord бағдарламасында өңделген түсініктемелерде сыртқы деректерді пайдалану кезінде шабуылдаушы көрсеткен SQL пәрмендерін орындауға әкелуі мүмкін. Мәселе түсініктемелердегі арнайы таңбалардың ДҚБЖ-да сақталмас бұрын қажетті қашуының болмауынан туындайды.
Екінші осалдық (CVE-2023-22797) redirect_to өңдегішінде тексерілмеген сыртқы деректерді пайдаланған кезде басқа беттерге қайта бағыттауға (ашық қайта бағыттау) қолданылуы мүмкін. Қалған 4 осалдық жүйеге жоғары жүктемені құруға байланысты қызмет көрсетуден бас тартуға әкеледі (негізінен тиімсіз және ұзақ жұмыс істейтін тұрақты өрнектерде сыртқы деректерді өңдеуге байланысты).
Ақпарат көзі: opennet.ru