Masasisho ya marekebisho ya mfumo wa Ruby on Rails 7.0.4.1, 6.1.7.1, na 6.0.6.1 yamechapishwa, kurekebisha udhaifu sita. Athari mbaya zaidi (CVE-2023-22794) inaweza kusababisha utekelezaji wa amri za SQL zilizobainishwa na mshambuliaji wakati wa kutumia data ya nje katika maoni yaliyochakatwa katika ActiveRecord. Suala hilo linasababishwa na ukosefu wa kutoroka muhimu kwa wahusika maalum katika maoni kabla ya kuwahifadhi kwa DBMS.
Athari ya pili (CVE-2023-22797) inaweza kutumika kuunda uelekezaji upya kwa kurasa zingine wakati wa kutumia data ya nje isiyoaminika katika kidhibiti_kwa kidhibiti. Athari nne zilizosalia husababisha kunyimwa huduma kwa sababu ya mzigo mkubwa wa mfumo (haswa kwa sababu ya kuchakata data ya nje katika usemi wa kawaida usiofaa na unaotumia wakati).
Chanzo: opennet.ru
