Sergey-Alekseev

**Nome do software vulnerável e versões afetadas** Ruby on Rails Active Storage, versões 5.2.0 a 5.2.6.2 Ruby on Rails Active Storage, versões 6.0.0 a 6.0.4.6 Versões do Ruby on Rails Active Storage de 6.1.0 a 6.1.4.6 Versões do Ruby on Rails Active Storage de 7.0.0 a 7.0.2.2 **Descrição** Existe uma vulnerabilidade de injeção de código no módulo Active Storage do Ruby on Rails, relacionada a erros na geração de código. Isso poderia permitir que um invasor remoto executasse código arbitrário por meio dos argumentos `image processing`. A implementação de uma lista de permissões restrita para métodos ou argumentos de transformação aceitos, bem como uma política de segurança rigorosa para o ImageMagick, pode ajudar a mitigar essa vulnerabilidade. **Recomendações** Para as versões 5.2.0 a 5.2.6.2, atualize para a versão 5.2.6.3 ou posterior. Para as versões 6.0.0 a 6.0.4.6, atualize para a versão 6.0.4.7 ou posterior. Para as versões 6.1.0 a 6.1.4.6, atualize para a versão 6.1.4.7 ou posterior. Para as versões 7.0.0 a 7.0.2.2, atualize para a versão 7.0.2.3 ou posterior. Como solução alternativa temporária, considere implementar uma lista de permissões restrita para métodos ou argumentos de transformação aceitos e aplique uma política de segurança rigorosa do ImageMagick para minimizar o risco de exploração.