Уязвимость компонента Active Storage программной платформы Ruby on Rails связана с отправкой заголовока Set-Cookie вместе с cookie сеанса пользователя при обслуживании больших двоичных объектов. Эксплуатация уязвимости может позволить нарушителю получить конфиденциальную информацию
Для Ruby on Rails:
https://discuss.rubyonrails.org/t/possible-sensitive-session-information-leak-in-active-storage/84945
https://github.com/rails/rails/commit/723f54566023e91060a67b03353e7c03e7436433
https://github.com/rails/rails/commit/78fe149509fac5b05e54187aaaef216fbb5fd0d3
https://github.com/rails/rails/security/advisories/GHSA-8h22-8cf7-hq6g
https://github.com/rubysec/ruby-advisory-db/blob/master/gems/activestorage/CVE-2024-26144.yml
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОСОН ОСнова Оnyx: Обновление программного обеспечения rails до версии 2:6.1.7.10+dfsg-1~deb12u1
| Балл | 6.4 — средняя опасность |