Навсозиҳои ислоҳкунандаи чаҳорчӯбаи Ruby on Rails 7.0.4.1, 6.1.7.1 ва 6.0.6.1 нашр шудаанд, ки дар онҳо 6 осебпазирӣ ислоҳ карда шудаанд. Хавфноктарин осебпазирӣ (CVE-2023-22794) метавонад ба иҷрои фармонҳои SQL, ки ҳамлакунанда ҳангоми истифодаи маълумоти беруна дар шарҳҳои дар ActiveRecord коркардшуда муайян кардааст, оварда расонад. Мушкилот аз набудани фирорҳои зарурии аломатҳои махсус дар шарҳҳо пеш аз захира кардани онҳо дар DBMS ба миён меояд.
Осебпазирии дуюм (CVE-2023-22797) метавонад барои интиқол ба саҳифаҳои дигар (ба таври боз масир) ҳангоми истифодаи маълумоти берунаи тасдиқнашуда дар коркарди redirect_to истифода шавад. 4 осебпазирии боқимонда аз сабаби сарбории зиёд ба система (асосан аз ҳисоби коркарди маълумоти беруна дар ифодаҳои муқаррарии бесамар ва вақтталаб) ба радди хидмат оварда мерасонад.
Манбаъ: opennet.ru