Risques
- Atteinte à l'intégrité des données
- Contournement de la politique de sécurité
- Déni de service à distance
- Exécution de code arbitraire à distance
- Injection de code indirecte à distance (XSS)
Systèmes affectés
- actionpack versions 8.1.x antérieures à 8.1.2.1
- actionview versions 8.0.x antérieures à 8.0.4.1
- actionview versions 8.1.x antérieures à 8.1.2.1
- actionview versions antérieures à 7.2.3.1
- activestorage versions 8.0.x antérieures à 8.0.4.1
- activestorage versions 8.1.x antérieures à 8.1.2.1
- activestorage versions antérieures à 7.2.3.1
- activesupport versions 8.0.x antérieures à 8.0.4.1
- activesupport versions 8.1.x antérieures à 8.1.2.1
- activesupport versions antérieures à 7.2.3.1
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Ruby on Rails. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à l'intégrité des données.
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Ruby on Rails 90903 du 23 mars 2026 https://discuss.rubyonrails.org/t/cve-2026-33202-possible-glob-injection-in-active-storage-diskservice/90903
- Bulletin de sécurité Ruby on Rails 90904 du 23 mars 2026 https://discuss.rubyonrails.org/t/cve-2026-33195-possible-path-traversal-in-active-storage-diskservice/90904
- Bulletin de sécurité Ruby on Rails 90906 du 23 mars 2026 https://discuss.rubyonrails.org/t/cve-2026-33658-possible-dos-vulnerability-in-active-storage-proxy-mode-via-multi-range-requests/90906
- Bulletin de sécurité Ruby on Rails 90907 du 23 mars 2026 https://discuss.rubyonrails.org/t/cve-2026-33176-possible-dos-vulnerability-in-active-support-number-helpers/90907
- Bulletin de sécurité Ruby on Rails 90908 du 23 mars 2026 https://discuss.rubyonrails.org/t/cve-2026-33174-possible-dos-vulnerability-in-active-storage-proxy-mode-via-range-requests/90908
- Bulletin de sécurité Ruby on Rails 90909 du 23 mars 2026 https://discuss.rubyonrails.org/t/cve-2026-33173-insufficient-filtering-of-metadata-in-active-storage-direct-uploads/90909
- Bulletin de sécurité Ruby on Rails 90910 du 23 mars 2026 https://discuss.rubyonrails.org/t/cve-2026-33170-possible-xss-vulnerability-in-safebuffer-in-active-support/90910
- Bulletin de sécurité Ruby on Rails 90911 du 23 mars 2026 https://discuss.rubyonrails.org/t/cve-2026-33169-possible-redos-vulnerability-in-number-to-delimited-in-active-support/90911
- Bulletin de sécurité Ruby on Rails 90912 du 23 mars 2026 https://discuss.rubyonrails.org/t/cve-2026-33168-possible-xss-vulnerability-in-action-view-tag-helpers/90912
- Bulletin de sécurité Ruby on Rails 90913 du 23 mars 2026 https://discuss.rubyonrails.org/t/cve-2026-33167-possible-xss-vulnerability-in-action-pack-debug-exceptions/90913
- Référence CVE CVE-2026-33167 https://www.cve.org/CVERecord?id=CVE-2026-33167
- Référence CVE CVE-2026-33168 https://www.cve.org/CVERecord?id=CVE-2026-33168
- Référence CVE CVE-2026-33169 https://www.cve.org/CVERecord?id=CVE-2026-33169
- Référence CVE CVE-2026-33170 https://www.cve.org/CVERecord?id=CVE-2026-33170
- Référence CVE CVE-2026-33173 https://www.cve.org/CVERecord?id=CVE-2026-33173
- Référence CVE CVE-2026-33174 https://www.cve.org/CVERecord?id=CVE-2026-33174
- Référence CVE CVE-2026-33176 https://www.cve.org/CVERecord?id=CVE-2026-33176
- Référence CVE CVE-2026-33195 https://www.cve.org/CVERecord?id=CVE-2026-33195
- Référence CVE CVE-2026-33202 https://www.cve.org/CVERecord?id=CVE-2026-33202
- Référence CVE CVE-2026-33658 https://www.cve.org/CVERecord?id=CVE-2026-33658
