Vulnerabilidades no Ruby on Rails permitem execução de código remoto e injeção de código SQL

dica-lampada-tipNo último dia 8, foram publicadas duas vulnerabilidades críticas no Ruby on Rails que permitem a criação de objetos arbitrários, podendo levar a execução de código remoto, injeção de código SQL, entre outros.

As vulnerabilidades exploram uma fraqueza no tratamento de parâmetros YAML ou Symbol passados em árvores XML.

Segundo o blog oficial do Ruby on Rails, estão disponíveis novas versões do Ruby on Rails (2.3.15, 3.0.19, 3.1.10 e 3.2.11) que corrigem a falha explorada. Outras soluções para o problema para aqueles não possam por algum motivo atualizar o software imediatamente, propostas pelo US-CERT VMS, são desabilitar o XML completamente ou desabilitar o suporte a YAML e Symbol do parser XML.

Para maiores detalhes sobre as vulnerabilidade acessem o link.