Korrigerende oppdateringer til Ruby on Rails-rammeverket 7.0.4.1, 6.1.7.1 og 6.0.6.1 er publisert, der 6 sårbarheter er fikset. Den farligste sårbarheten (CVE-2023-22794) kan føre til utføring av SQL-kommandoer spesifisert av angriperen ved bruk av eksterne data i kommentarer behandlet i ActiveRecord. Problemet er forårsaket av mangelen på nødvendig escape av spesialtegn i kommentarer før de lagres i DBMS.
Den andre sårbarheten (CVE-2023-22797) kan brukes på videresending til andre sider (åpen omdirigering) ved bruk av uverifiserte eksterne data i redirect_to-behandleren. De resterende 4 sårbarhetene fører til tjenestenekt på grunn av høy belastning på systemet (hovedsakelig på grunn av behandling av eksterne data i ineffektive og tidkrevende regulære uttrykk).
Kilde: opennet.ru