Pembaruan koréksi kana kerangka Ruby on Rails 7.0.4.1, 6.1.7.1 sareng 6.0.6.1 parantos diterbitkeun, dimana 6 kerentanan dibereskeun. Kerentanan anu paling bahaya (CVE-2023-22794) tiasa nyababkeun palaksanaan paréntah SQL anu ditangtukeun ku panyerang nalika nganggo data éksternal dina koméntar anu diolah dina ActiveRecord. Masalahna disababkeun ku kurangna kabur karakter khusus dina koméntar sateuacan disimpen dina DBMS.
Kerentanan kadua (CVE-2023-22797) tiasa diterapkeun pikeun neraskeun ka halaman sanés (alihan kabuka) nalika nganggo data éksternal anu teu acan diverifikasi dina panangan redirect_to. Sésana 4 kerentanan nyababkeun panolakan jasa kusabab beban anu luhur dina sistem (utamana kusabab ngolah data éksternal dina ekspresi biasa anu teu cekap sareng nyéépkeun waktos).
sumber: opennet.ru