Dos vulnerabilidades de inyección SQL fueron corregidas en Ruby on Rails, framework de desarrollo web de código abierto muy popular utilizado por algunos sitios web de gran envergadura tales como Twitter.

Los desarrolladores de Rails liberaron las versiones 3.2.19, 4.0.7 y 4.1.3 del framework el miércoles, además recomendaron a los usuarios actualizar lo antes posible. Horas más tarde lanzaron las versiones 4.0.8 y 4.1.4 para corregir una regresión causada por las actualizaciones previas.

Entre las vulnerabilidades de inyección SQL afecta a las aplicaciones que se ejecutan en las versiones de Rails que van de la 2.0.0 a la 3.2.18, que también utilizan el sistema de base de datos PostgreSQL y que realizan consultas con cadenas de bits. La segunda vulnerabilidad afecta a las aplicaciones que se ejecutan en Rails versiones 4.0.0 a 4.1.2 cuando utilizan PostgreSQL y realizan consultas de tipo rango de datos.

A pesar de afectar a diferentes versiones, los dos fallos están relacionados y ambos permiten a los atacantes inyectar código SQL arbitrario en consultas que utilizan valores especialmente diseñados.

En caso de que una actualización de la versión no se puede realizar de forma inmediata, los desarrolladores también lanzaron parches de código que se pueden aplicar de forma manual.