Risques
- Contournement de la politique de sécurité
- Exécution de code arbitraire à distance
Systèmes affectés
- activerecord versions 7.2.x antérieures à 7.2.2.2
- activerecord versions 8.x antérieures à 8.0.2.1
- activerecord versions antérieures à 7.1.5.2
- activestorage versions 7.2.x antérieures à 7.2.2.2
- activestorage versions 8.x antérieures à 8.0.2.1
- activestorage versions antérieures à 7.1.5.2
Résumé
De multiples vulnérabilités ont été découvertes dans Ruby on Rails. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et un contournement de la politique de sécurité.
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Ruby on Rails 89669 du 13 août 2025 https://discuss.rubyonrails.org/t/cve-2025-55193-ansi-escape-injection-in-active-record-logging/89669
- Bulletin de sécurité Ruby on Rails 89670 du 13 août 2025 https://discuss.rubyonrails.org/t/cve-2025-24293-active-storage-allowed-transformation-methods-potentially-unsafe/89670
- Référence CVE CVE-2025-24293 https://www.cve.org/CVERecord?id=CVE-2025-24293
- Référence CVE CVE-2025-55193 https://www.cve.org/CVERecord?id=CVE-2025-55193
