Ir publicēti Ruby on Rails 7.0.4.1, 6.1.7.1 un 6.0.6.1 ietvara koriģējošie atjauninājumi, kas novērš 6 ievainojamības. Visbīstamākā ievainojamība (CVE-2023-22794) var izraisīt uzbrucēja norādīto SQL komandu izpildi, izmantojot ārējos datus komentāros, kas apstrādāti programmā ActiveRecord. Problēmu izraisa tas, ka komentāros nav nepieciešama speciālo rakstzīmju izņemšana, pirms tās tiek saglabātas DBVS.
Otro ievainojamību (CVE-2023-22797) var lietot pārsūtīšanai uz citām lapām (atvērta novirzīšana), ja redirect_to apstrādātājā tiek izmantoti nepārbaudīti ārējie dati. Atlikušās 4 ievainojamības noved pie pakalpojuma atteikuma, jo sistēmai tiek radīta liela slodze (galvenokārt ārējo datu apstrādes dēļ neefektīvās un ilgstoši darbojošās regulārās izteiksmēs).
Avots: opennet.ru