CERTFR-2025-AVI-0692_Multiples vulnérabilités dans Ruby on Rails
AVIS CERT
CERT-FR
Publié le 14 août 2025 à 16h18
Objet
Multiples vulnérabilités dans Ruby on Rails
Référence
CERTFR-2025-AVI-0692
Risques
- Contournement de la politique de sécurité
- Exécution de code arbitraire à distance
Systèmes affectés
- activerecord versions 7.2.x antérieures à 7.2.2.2
- activerecord versions 8.x antérieures à 8.0.2.1
- activerecord versions antérieures à 7.1.5.2
- activestorage versions 7.2.x antérieures à 7.2.2.2
- activestorage versions 8.x antérieures à 8.0.2.1
- activestorage versions antérieures à 7.1.5.2
Résumé
De multiples vulnérabilités ont été découvertes dans Ruby on Rails. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et un contournement de la politique de sécurité.
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Ruby on Rails 89669 du 13 août 2025
- Bulletin de sécurité Ruby on Rails 89670 du 13 août 2025
- CVE-2025-24293
- CVE-2025-55193