Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta a RubyGems, que permitiría a un atacante realizar ataques de inyección SQL en el sistema afectado.
La vulnerabilidad identificada como CVE-2023-22794, sin severidad ni puntuación asignada aún. Esta vulnerabilidad se debe a una falla en la validación de datos de entrada en los comentarios de ActiveRecord de RubyGems. Esto permitiría a un atacante realizar ataques de inyección SQL a través del método de consulta optimizer_hints o a través de la interfaz QueryLogs.
Las versiones afectadas son:
- ActiveRecord versiones 6.0.x y anteriores a 6.0.6.1.
- ActiveRecord versiones 6.1.x y anteriores a 6.1.7.1.
- ActiveRecord versiones 7.0.0 y anteriores a 7.0.4.1.
Recomendamos acceder a las actualizaciones correspondientes de acuerdo a cada versión provista por el fabricante en los siguientes enlaces:
- Actualización ActiveRecord versión 6.0.
- Actualización ActiveRecord versión 6.1.
- Actualización ActiveRecord versión 7.0.
Referencias:
- https://securityonline.info/cve-2023-22794-rubygems-activerecord-sql-injection-vulnerability/
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-22794
- https://discuss.rubyonrails.org/t/cve-2023-22794-sql-injection-vulnerability-via-activerecord-comments/82117
- https://rubyonrails.org/2023/1/17/Rails-Versions-6-0-6-1-6-1-7-1-7-0-4-1-have-been-released
- https://discuss.rubyonrails.org/uploads/short-url/4ggQcJ3z45ec6KxEBQWRZVNUo4m.patch
- https://discuss.rubyonrails.org/uploads/short-url/ruWbT12Yp8aH0Co1XT3JdsyrqnO.patch
- https://discuss.rubyonrails.org/uploads/short-url/fMQko1ar9lTCu25Vl64z683VCxC.patch