Вышел очередной корректирующий выпуск фреймворка Ruby on Rails, в котором устранена критическая уязвимость благодаря которой злоумышленник мог выполнить SQL-инъекцию.
Прошло всего 2 недели с момента прошлого корректирующего релиза, в котором были исправлены аналогичные проблемы.
Как и прошлая, новая уязвимость связана с реализацией обработки вложенных запросов в Active Record и позволяет осуществить SQL-инъекцию.
Проблема устранена в выпусках 3.0.14, 3.1.6 и 3.2.6.