Ruby on Rails framework 7.0.4.1, 6.1.7.1, 6.0.6.1-ийн залруулах шинэчлэлтүүд нийтлэгдсэн бөгөөд 6 эмзэг байдлыг зассан. Хамгийн аюултай эмзэг байдал (CVE-2023-22794) нь ActiveRecord-д боловсруулсан тайлбарт гадны өгөгдлийг ашиглах үед халдагчийн тодорхойлсон SQL командыг гүйцэтгэхэд хүргэж болзошгүй юм. Асуудал нь тайлбар дахь тусгай тэмдэгтүүдийг DBMS-д хадгалахаас өмнө зайлшгүй зугтах шаардлагагүйгээс үүдэлтэй юм.
Хоёрдахь эмзэг байдлыг (CVE-2023-22797) redirect_to зохицуулагчийн баталгаажуулаагүй гадаад өгөгдлийг ашиглах үед бусад хуудас руу дамжуулахад (нээлттэй дахин чиглүүлэлт) ашиглаж болно. Үлдсэн 4 эмзэг байдал нь системд ачаалал их байгаа тул үйлчилгээ үзүүлэхээс татгалзахад хүргэдэг (гол төлөв үр ашиггүй, цаг хугацаа их шаарддаг тогтмол илэрхийлэлд гадны өгөгдлийг боловсруулахтай холбоотой).
Эх сурвалж: opennet.ru