Er zijn corrigerende updates van het Ruby on Rails framework 7.0.4.1, 6.1.7.1 en 6.0.6.1 gepubliceerd, waarin 6 kwetsbaarheden zijn verholpen. De gevaarlijkste kwetsbaarheid (CVE-2023-22794) kan leiden tot de uitvoering van SQL-opdrachten die door de aanvaller zijn opgegeven bij gebruik van externe gegevens in opmerkingen die zijn verwerkt in ActiveRecord. Het probleem wordt veroorzaakt doordat speciale tekens in opmerkingen niet noodzakelijk worden geëscaped voordat ze in het DBMS worden opgeslagen.
De tweede kwetsbaarheid (CVE-2023-22797) kan worden toegepast op het doorsturen naar andere pagina's (open redirect) bij gebruik van niet-geverifieerde externe gegevens in de redirect_to handler. De overige vier kwetsbaarheden leiden tot Denial of Service vanwege de hoge belasting van het systeem (voornamelijk als gevolg van het verwerken van externe gegevens in inefficiënte en tijdrovende reguliere expressies).
Bron: opennet.ru