Ruby on Rails ramkasining 7.0.4.1, 6.1.7.1 va 6.0.6.1 tuzatuvchi yangilanishlari chop etildi, ularda 6 ta zaiflik tuzatildi. Eng xavfli zaiflik (CVE-2023-22794) ActiveRecord-da qayta ishlangan izohlarda tashqi ma'lumotlardan foydalanganda tajovuzkor tomonidan belgilangan SQL buyruqlarining bajarilishiga olib kelishi mumkin. Muammo sharhlardagi maxsus belgilarni ma'lumotlar bazasida saqlashdan oldin ularni chetlab o'tish zarurati yo'qligi bilan bog'liq.
Ikkinchi zaiflik (CVE-2023-22797) redirect_to ishlov beruvchisida tasdiqlanmagan tashqi ma'lumotlardan foydalanganda boshqa sahifalarga yo'naltirish (ochiq qayta yo'naltirish) uchun qo'llanilishi mumkin. Qolgan 4 ta zaiflik tizimga yuqori yuklanish (asosan tashqi ma'lumotlarni samarasiz va ko'p vaqt talab qiluvchi muntazam ifodalarda qayta ishlash tufayli) tufayli xizmat ko'rsatishni rad etishga olib keladi.
Manba: opennet.ru