Ruby on Rails, también conocido simplemente como Rails, es un framework de aplicaciones web de código abierto escrito en el lenguaje de programación Ruby, que sigue la arquitectura Modelo-Vista-Controlador (MVC).

El problemacorregido, con CVE-2016-6316, reside en un posible cross-site scripting en Action View, debido a que un texto declarado como "HTML safe" cuando se pasa como un valor atributo a un tag helper no tendrá las comillas escapadas, lo que podría permitir un ataque XSS.

Por otra parte, la versión 4.2.7.1 también incluye la corrección de otra vulnerabilidad (con CVE-2016-6317) cuando Active Record se usa en combinación con el tratamiento de parámetros JSON. Debido a la forma en Active Record interpreta parámetros en combinación con la manera en que se analizan los parámetros JSON, un atacante podrá realizar consultas de bases de datos con 'IS NULL' o cláusulas where vacías. Este problema no permitirá al atacante insertar valores arbitrarios en una consulta SQL. Sin embargo, puede permitir la consulta para comprobar NULL o eliminar una cláusula WHERE.

Antonio Ropero

Twitter: @aropero