Спустя две недели с момента публикации информации об критической уязвимости в web-фреймворке Ruby on Rails, представлены очередные корректирующие выпуски 3.0.14, 3.1.6 и 3.2.6, в который устранена очередная порция опасных уязвимостей.
Как и прошлая уязвимость новая проблема безопасности связана с реализацией обработки вложенных запросов в Active Record и позволяет осуществлить подстановку своего SQL-кода. Данная проблема по своей сути аналогична прошлой уязвимости, но подразумевает использование немного другой техники эксплуатации, позволяющей обойти метод борьбы с уязвимостью, добавленный в прошлом выпуске Ruby on Rails. Вторая уязвимость связана с некорректным разбором параметров в Rack при использовании Active Record, что позволяет вставить в SQL-запрос условие "IS NULL".