Kemas kini pembetulan kepada rangka kerja Ruby on Rails 7.0.4.1, 6.1.7.1 dan 6.0.6.1 telah diterbitkan, di mana 6 kelemahan telah diperbaiki. Kerentanan yang paling berbahaya (CVE-2023-22794) boleh membawa kepada pelaksanaan perintah SQL yang ditentukan oleh penyerang apabila menggunakan data luaran dalam ulasan yang diproses dalam ActiveRecord. Masalahnya disebabkan oleh kekurangan watak khas yang perlu dilepaskan dalam ulasan sebelum menyimpannya dalam DBMS.
Kerentanan kedua (CVE-2023-22797) boleh digunakan untuk mengirim semula ke halaman lain (lencongan terbuka) apabila menggunakan data luaran yang tidak disahkan dalam pengendali redirect_to. Baki 4 kelemahan membawa kepada penafian perkhidmatan disebabkan oleh beban yang tinggi pada sistem (terutamanya disebabkan oleh pemprosesan data luaran dalam ungkapan biasa yang tidak cekap dan memakan masa).
Sumber: opennet.ru