Se han publicado las versiones 4.0.9 y 4.1.5 de Ruby on
Rails, que corrigen una vulnerabilidad que podría permitir a atacantes remotos
asignar atributos arbitrarios en modelos.
Ruby on Rails,
también conocido simplemente como Rails, es un framework de aplicaciones web de
código abierto escrito en el lenguaje de programación Ruby, que sigue la
arquitectura Modelo-Vista-Controlador (MVC).
La
vulnerabilidad reside en la funcionalidad create_with de Active Record,
implementada incorrectamente evita completamente la protección de parámetros.
Las aplicaciones que pasen valores controlados por el usuario a create_with
podrían permitir a un atacante asignar atributos arbitrarios en modelos.
Más
información:
- Rails 4.0.9 and 4.1.5 have been released! http://weblog.rubyonrails.org/2014/8/18/Rails_4_0_9_and_4_1_5_have_been_released/