Paskelbti korekciniai Ruby on Rails sistemos 7.0.4.1, 6.1.7.1 ir 6.0.6.1 atnaujinimai, kuriuose ištaisytos 6 spragos. Pavojingiausias pažeidžiamumas (CVE-2023-22794) gali sukelti užpuoliko nurodytų SQL komandų vykdymą naudojant išorinius duomenis komentaruose, apdorojamuose ActiveRecord. Problema kyla dėl to, kad prieš išsaugant juos DBVS komentaruose trūksta specialiųjų simbolių.
Antrasis pažeidžiamumas (CVE-2023-22797) gali būti taikomas persiuntimui į kitus puslapius (atviras peradresavimas), kai redirect_to tvarkyklėje naudojami nepatvirtinti išoriniai duomenys. Likę 4 pažeidžiamumai sukelia paslaugų atsisakymą dėl didelės sistemos apkrovos (daugiausia dėl išorinių duomenų apdorojimo neefektyviomis ir daug laiko reikalaujančiomis reguliariosiomis išraiškomis).
Šaltinis: opennet.ru