Опубліковано коригуючі оновлення фреймворку Ruby on Rails 7.0.4.1, 6.1.7.1 та 6.0.6.1, у яких усунено 6 уразливостей. Найбільш небезпечна вразливість (CVE-2023-22794) може призвести до виконання заданих атакуючим SQL-команд під час використання зовнішніх даних у коментарях, що обробляються в ActiveRecord. Проблема викликана відсутністю необхідного екранування спецсимволів у коментарях перед їх збереженням до СУБД.
Друга вразливість (CVE-2023-22797) може застосовуватися для організації прокидання на інші сторінки (відкритий редирект) при використанні неперевірених зовнішніх даних в обробнику redirect_to. Інші 4 вразливості призводять до відмови в обслуговуванні через створення високого навантаження на систему (в основному через обробку зовнішніх даних у неефективних і тривалих регулярних виразах).
Джерело: opennet.ru