Awọn imudojuiwọn atunṣe si Ruby on Rails framework 7.0.4.1, 6.1.7.1 ati 6.0.6.1 ti a ti tẹjade, ninu eyiti 6 vulnerabilities ti wa ni titunse. Ailagbara ti o lewu julọ (CVE-2023-22794) le ja si ipaniyan ti awọn aṣẹ SQL ti a sọ pato nipasẹ olukapa nigba lilo data ita ni awọn asọye ti a ṣe ilana ni ActiveRecord. Iṣoro naa jẹ nitori aini salọ pataki ti awọn ohun kikọ pataki ni awọn asọye ṣaaju fifipamọ wọn ni DBMS.
Ailagbara keji (CVE-2023-22797) ni a le lo si fifiranṣẹ si awọn oju-iwe miiran (atunṣe ṣiṣi silẹ) nigba lilo data ita ti a ko rii daju ni redirect_to olutọju. Awọn ailagbara 4 ti o ku yori si kiko iṣẹ nitori fifuye giga lori eto (ni pataki nitori sisẹ data ita ailagbara ati awọn ikosile deede ti n gba akoko).
orisun: opennet.ru