Ruby on Rails çerçevesi 7.0.4.1, 6.1.7.1 ve 6.0.6.1'e yönelik 6 güvenlik açığının giderildiği düzeltici güncellemeler yayımlandı. En tehlikeli güvenlik açığı (CVE-2023-22794), ActiveRecord'da işlenen yorumlarda harici veriler kullanılırken saldırganın belirttiği SQL komutlarının yürütülmesine neden olabilir. Sorun, açıklamalardaki özel karakterlerin DBMS'ye kaydedilmeden önce gerekli şekilde kaçılmamasından kaynaklanmaktadır.
İkinci güvenlik açığı (CVE-2023-22797), yönlendirme_to işleyicisinde doğrulanmamış harici veriler kullanıldığında diğer sayfalara yönlendirme (açık yönlendirme) için uygulanabilir. Geriye kalan 4 güvenlik açığı, sistem üzerindeki yüksek yük nedeniyle (esas olarak harici verilerin verimsiz ve zaman alıcı düzenli ifadelerle işlenmesi nedeniyle) hizmet reddine yol açmaktadır.
Kaynak: opennet.ru