Opublikowano aktualizacje korygujące frameworka Ruby on Rails 7.0.4.1, 6.1.7.1 i 6.0.6.1, naprawiające 6 luk. Najbardziej niebezpieczna luka (CVE-2023-22794) może spowodować wykonanie poleceń SQL określonych przez atakującego podczas korzystania z danych zewnętrznych w komentarzach przetwarzanych w ActiveRecord. Problem wynika z braku konieczności ucieczki znaków specjalnych w komentarzach przed ich zapisaniem w DBMS.
Drugą lukę (CVE-2023-22797) można zastosować do przekazywania na inne strony (otwarte przekierowanie) w przypadku korzystania z niezweryfikowanych danych zewnętrznych w procedurze obsługi redirect_to. Pozostałe 4 luki prowadzą do odmowy usługi ze względu na utworzenie dużego obciążenia systemu (głównie na skutek przetwarzania danych zewnętrznych w nieefektywnych i długotrwałych wyrażeniach regularnych).
Źródło: opennet.ru