Ang mga corrective update sa Ruby on Rails framework 7.0.4.1, 6.1.7.1 at 6.0.6.1 ay nai-publish, kung saan 6 na mga kahinaan ang naayos. Ang pinaka-mapanganib na kahinaan (CVE-2023-22794) ay maaaring humantong sa pagpapatupad ng mga SQL command na tinukoy ng attacker kapag gumagamit ng external na data sa mga komentong naproseso sa ActiveRecord. Ang problema ay sanhi ng kakulangan ng kinakailangang pagtakas ng mga espesyal na character sa mga komento bago i-save ang mga ito sa DBMS.
Ang pangalawang kahinaan (CVE-2023-22797) ay maaaring ilapat sa pagpapasa sa iba pang mga pahina (bukas na pag-redirect) kapag gumagamit ng hindi na-verify na external na data sa redirect_to handler. Ang natitirang 4 na kahinaan ay humahantong sa pagtanggi sa serbisyo dahil sa mataas na pag-load sa system (pangunahin dahil sa pagpoproseso ng panlabas na data sa hindi mahusay at nakakaubos ng oras na mga regular na expression).
Pinagmulan: opennet.ru