రూబీ ఆన్ రైల్స్ ఫ్రేమ్వర్క్ 7.0.4.1, 6.1.7.1 మరియు 6.0.6.1 యొక్క దిద్దుబాటు నవీకరణలు ప్రచురించబడ్డాయి, ఇందులో 6 దుర్బలత్వాలు పరిష్కరించబడ్డాయి. అత్యంత ప్రమాదకరమైన దుర్బలత్వం (CVE-2023-22794) ActiveRecordలో ప్రాసెస్ చేయబడిన వ్యాఖ్యలలో బాహ్య డేటాను ఉపయోగిస్తున్నప్పుడు దాడి చేసే వ్యక్తి ద్వారా పేర్కొన్న SQL ఆదేశాల అమలుకు దారితీయవచ్చు. ప్రత్యేక అక్షరాలను DBMSలో సేవ్ చేయడానికి ముందు వాటిని తప్పనిసరిగా తప్పించుకోవడం వల్ల సమస్య ఏర్పడింది.
రెండవ దుర్బలత్వం (CVE-2023-22797) రీడైరెక్ట్_టు హ్యాండ్లర్లో ధృవీకరించని బాహ్య డేటాను ఉపయోగిస్తున్నప్పుడు ఇతర పేజీలకు ఫార్వార్డ్ చేయడానికి (ఓపెన్ రీడైరెక్ట్) వర్తించబడుతుంది. మిగిలిన 4 దుర్బలత్వాలు సిస్టమ్పై అధిక లోడ్ కారణంగా సేవ యొక్క తిరస్కరణకు దారితీస్తాయి (ప్రధానంగా అసమర్థమైన మరియు సమయం తీసుకునే సాధారణ వ్యక్తీకరణలలో బాహ్య డేటాను ప్రాసెస్ చేయడం వలన).
మూలం: opennet.ru