В Ruby on Rails устранена уязвимость, допускающая подстановку SQL-кода
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Опубликованы корректирующие обновления фреймворка Ruby on Rails 7.0.4.1, 6.1.7.1 и 6.0.6.1, в которых устранено 6 уязвимостей. Наиболее опасная уязвимость (CVE-2023-22794) может привести к выполнению заданных атакующим SQL-команд при использовании внешних данных в комментариях, обрабатываемых в ActiveRecord. Проблема вызвана отсутствием необходимого экранирования спецсимволов в комментариях перед их сохранением в СУБД.
Вторая уязвимость (CVE-2023-22797) может применяться к организации проброса на другие страницы (открытый редирект) при использовании непроверенных внешних данных в обработчике redirect_to.
Остальные 4 уязвимости приводят к отказу в обслуживании из-за создания высокой нагрузки на ситему (в основном из-за обработки внешних данных в неэффективных и длительно выполняемых регулярных выражениях).
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://rubyonrails.org/2023/1...)
- OpenNews: Обновление Ruby и Rails с устранением уязвимостей
- OpenNews: Релиз web-фреймворка Ruby on Rails 5.0
- OpenNews: Новые выпуски Ruby on Rails 4.0.9 и 4.1.5 с устранением уязвимости
- OpenNews: В Rails устранена уязвимость, позволяющая осуществить подстановку SQL-кода
- OpenNews: Обновление Ruby on Rails 3.2.12, 3.1.11 и 2.3.17 с устранением критической уязвимости
Похожие новости:
- [Разработка веб-сайтов, Ruby, PHP, Python, Ruby on Rails] PHP vs Python vs Ruby: Detailed Comparison
Теги для поиска: #_rubyonrails
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 12:19
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
Опубликованы корректирующие обновления фреймворка Ruby on Rails 7.0.4.1, 6.1.7.1 и 6.0.6.1, в которых устранено 6 уязвимостей. Наиболее опасная уязвимость (CVE-2023-22794) может привести к выполнению заданных атакующим SQL-команд при использовании внешних данных в комментариях, обрабатываемых в ActiveRecord. Проблема вызвана отсутствием необходимого экранирования спецсимволов в комментариях перед их сохранением в СУБД. Вторая уязвимость (CVE-2023-22797) может применяться к организации проброса на другие страницы (открытый редирект) при использовании непроверенных внешних данных в обработчике redirect_to. Остальные 4 уязвимости приводят к отказу в обслуживании из-за создания высокой нагрузки на ситему (в основном из-за обработки внешних данных в неэффективных и длительно выполняемых регулярных выражениях). =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 12:19
Часовой пояс: UTC + 5