Jeremy Evans

**Name of the Vulnerable Software and Affected Versions** ActiveRecord versions prior to 6.1.7.1 ActiveRecord versions prior to 7.0.4.1 **Description** A denial of service issue is present in ActiveRecord's PostgreSQL adapter. When a value outside the range for a 64bit signed integer is provided to the PostgreSQL connection adapter, it will treat the target column type as numeric. Comparing integer values against numeric values can result in a slow sequential scan, potentially leading to a denial of service. The issue is related to insufficient input validation in the PostgreSQL adapter. **Recommendations** For versions prior to 6.1.7.1, update to version 6.1.7.1 or apply the patch 6-1-Added-integer-width-check-to-PostgreSQL-Quoting.patch. For versions prior to 7.0.4.1, update to version 7.0.4.1 or apply the patch 7-0-Added-integer-width-check-to-PostgreSQL-Quoting.patch. As a temporary workaround, ensure that user-supplied input provided to ActiveRecord clauses does not contain integers wider than a signed 64bit representation or floats.

**Nome do software vulnerável e versões afetadas** Gem JSON versões 2.2.0 e anteriores Ruby versões 2.4 a 2.4.9 Ruby versões 2.5 a 2.5.7 Ruby versões 2.6 a 2.6.5 **Descrição** A gem JSON para Ruby apresenta uma falha de criação de objeto inseguro devido à validação insuficiente de entradas. Isso pode levar à criação de um objeto malicioso dentro do interpretador ao usar métodos de análise de JSON, resultando em efeitos adversos dependentes da aplicação. A falha é semelhante a uma vulnerabilidade conhecida anteriormente, mas não depende de um comportamento inadequado da coleta de lixo no Ruby. **Recomendações** Para a gem JSON versão 2.2.0 e anteriores, atualize para uma versão com verificações aprimoradas. Para as versões 2.4 a 2.4.9 do Ruby, considere atualizar para uma versão com a gem JSON aprimorada. Para as versões 2.5 a 2.5.7 do Ruby, considere atualizar para uma versão com a gem JSON aprimorada. Para as versões 2.6 a 2.6.5 do Ruby, considere atualizar para uma versão com a gem JSON aprimorada.

**Name of the Vulnerable Software and Affected Versions** Phusion Passenger versions prior to 5.1.0 **Description** The issue arises from the use of a known /tmp filename during the execution of the passenger-install-nginx-module, potentially allowing local attackers to gain the privileges of the passenger user. **Recommendations** For versions prior to 5.1.0, update to version 5.1.0 or later to resolve the issue.