Boli zverejnené opravné aktualizácie rámca Ruby on Rails 7.0.4.1, 6.1.7.1 a 6.0.6.1, v ktorých je opravených 6 zraniteľností. Najnebezpečnejšia zraniteľnosť (CVE-2023-22794) môže viesť k vykonaniu príkazov SQL špecifikovaných útočníkom pri použití externých údajov v komentároch spracovaných v ActiveRecord. Problém je spôsobený nedostatkom potrebného escapovania špeciálnych znakov v komentároch pred ich uložením do DBMS.
Druhú chybu zabezpečenia (CVE-2023-22797) možno použiť na preposielanie na iné stránky (otvorené presmerovanie) pri použití neoverených externých údajov v obslužnom nástroji presmerovania. Zvyšné 4 zraniteľnosti vedú k odmietnutiu služby z dôvodu vysokej záťaže systému (hlavne z dôvodu spracovania externých dát v neefektívnych a časovo náročných regulárnych výrazoch).
Zdroj: opennet.ru