บั๊กใน Roby on Rails ที่ใช้โมดูล XML parameter เพื่อรับค่าพารามิเตอร์ในการโพสแบบ XML กำลังทำให้เว็บไซต์ที่รัน Ruby on Rails แทบทั้งหมดเจอปัญหา remote code execution หรือการรันโค้ดที่รับมาจากผู้ใช้

ปัญหาเกิดจากโมดูลสำหรับ parse XML นั้นรองรับค่าชนิด symbol และ yaml โดยโครงสร้างความปลอดภัยของภาษา Ruby นั้นไม่ควรให้ค่า symbol ถูกส่งมาจากภายนอกได้ รวมถึงค่าของ yaml นั้นสามารถใช้รันโค้ดบางส่วนได้โดยโครงสร้างของมันเอง จึงไม่ควรนำมาใช้รับค่าจากผู้ใช้ภายนอก

เว็บไซต์ที่ใช้ Ruby on Rails ทั้งหมด (มากกว่า 240,000 เว็บไซต์ทั่วโลก) ควรแพตซ์โค้ดที่ใช้งานอยู่เพื่อยกเลิกการรับค่าแบบ XML ออกไป หรือไม่เช่นนั้นอาจจะอัพเกรดโค้ดไปยังเวอร์ชั่นล่าสุด

ที่มา - Ruby on Rails - Security, ArsTechnica