● CERT-FR Alertes 📅 24/03/2026 à 01:00

Objet: Multiples vulnérabilités dans Ruby on Rails

Cybersécurité
Illustration
Premier Ministre S.G.D.S.N Agence nationalede la sécurité dessystèmes d'information Paris, le 24 mars 2026 N° CERTFR-2026-AVI-0349 Affaire suivie par: CERT-FR Avis du CERT-FR Objet: Multiples vulnérabilités dans Ruby on Rails Gestion du document Référence CERTFR-2026-AVI-0349 Titre Multiples vulnérabilités dans Ruby on Rails Date de la première version24 mars 2026 Date de la dernière version24 mars 2026 Source(s) Bulletin de sécurité Ruby on Rails 90903 du 23 mars 2026Bulletin de sécurité Ruby on Rails 90904 du 23 mars 2026Bulletin de sécurité Ruby on Rails 90906 du 23 mars 2026Bulletin de sécurité Ruby on Rails 90907 du 23 mars 2026Bulletin de sécurité Ruby on Rails 90908 du 23 mars 2026Bulletin de sécurité Ruby on Rails 90909 du 23 mars 2026Bulletin de sécurité Ruby on Rails 90910 du 23 mars 2026Bulletin de sécurité Ruby on Rails 90911 du 23 mars 2026Bulletin de sécurité Ruby on Rails 90912 du 23 mars 2026Bulletin de sécurité Ruby on Rails 90913 du 23 mars 2026 Une gestion de version détaillée se trouve à la fin de ce document. Risques Atteinte à l'intégrité des données Contournement de la politique de sécurité Déni de service à distance Exécution de code arbitraire à distance Injection de code indirecte à distance (XSS) Systèmes affectés actionpack versions 8.1.x antérieures à 8.1.2.1 actionview versions 8.0.x antérieures à 8.0.4.1 actionview versions 8.1.x antérieures à 8.1.2.1 actionview versions antérieures à 7.2.3.1 activestorage versions 8.0.x antérieures à 8.0.4.1 activestorage versions 8.1.x antérieures à 8.1.2.1 activestorage versions antérieures à 7.2.3.1 activesupport versions 8.0.x antérieures à 8.0.4.1 activesupport versions 8.1.x antérieures à 8.1.2.1 activesupport versions antérieures à 7.2.3.1 Résumé De multiples vulnérabilités ont été découvertes dans les produits Ruby on Rails. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à l'intégrité des données. Solutions Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation). Documentation Bulletin de sécurité Ruby on Rails 90903 du 23 mars 2026 https://discuss.rubyonrails.org/t/cve-2026-33202-possible-glob-injection-in-active-storage-diskservice/90903 Bulletin de sécurité Ruby on Rails 90904 du 23 mars 2026 https://discuss.rubyonrails.org/t/cve-2026-33195-possible-path-traversal-in-active-storage-diskservice/90904 Bulletin de sécurité Ruby on Rails 90906 du 23 mars 2026 https://discuss.rubyonrails.org/t/cve-2026-33658-possible-dos-vulnerability-in-active-storage-proxy-mode-via-multi-range-requests/90906 Bulletin de sécurité Ruby on Rails 90907 du 23 mars 2026 https://discuss.rubyonrails.org/t/cve-2026-33176-possible-dos-vulnerability-in-active-support-number-helpers/90907 Bulletin de sécurité Ruby on Rails 90908 du 23 mars 2026 https://discuss.rubyonrails.org/t/cve-2026-33174-possible-dos-vulnerability-in-active-storage-proxy-mode-via-range-requests/90908 Bulletin de sécurité Ruby on Rails 90909 du 23 mars 2026 https://discuss.rubyonrails.org/t/cve-2026-33173-insufficient-filtering-of-metadata-in-active-storage-direct-uploads/90909 Bulletin de sécurité Ruby on Rails 90910 du 23 mars 2026 https://discuss.rubyonrails.org/t/cve-2026-33170-possible-xss-vulnerability-in-safebuffer-in-active-support/90910 Bulletin de sécurité Ruby on Rails 90911 du 23 mars 2026 https://discuss.rubyonrails.org/t/cve-2026-33169-possible-redos-vulnerability-in-number-to-delimited-in-active-support/90911 Bulletin de sécurité Ruby on Rails 90912 du 23 mars 2026 https://discuss.rubyonrails.org/t/cve-2026-33168-possible-xss-vulnerability-in-action-view-tag-helpers/90912 Bulletin de sécurité Ruby on Rails 90913 du 23 mars 2026 https://discuss.rubyonrails.org/t/cve-2026-33167-possible-xss-vulnerability-in-action-pack-debug-exceptions/90913 Référence CVE CVE-2020-8264 https://www.cve.org/CVERecord?id=CVE-2020-8264 Référence CVE CVE-2021-22880 https://www.cve.org/CVERecord?id=CVE-2021-22880 Référence CVE CVE-2022-21831 https://www.cve.org/CVERecord?id=CVE-2022-21831 Référence CVE CVE-2022-22577 https://www.cve.org/CVERecord?id=CVE-2022-22577 Référence CVE CVE-2022-27777 https://www.cve.org/CVERecord?id=CVE-2022-27777 Référence CVE CVE-2022-32209 https://www.cve.org/CVERecord?id=CVE-2022-32209 Référence CVE CVE-2023-22796 https://www.cve.org/CVERecord?id=CVE-2023-22796 Référence CVE CVE-2023-27530 https://www.cve.org/CVERecord?id=CVE-2023-27530 Référence CVE CVE-2023-28120 https://www.cve.org/CVERecord?id=CVE-2023-28120 Référence CVE CVE-2024-47889 https://www.cve.org/CVERecord?id=CVE-2024-47889 Référence CVE CVE-2026-33167 https://www.cve.org/CVERecord?id=CVE-2026-33167 Référence CVE CVE-2026-33168 https://www.cve.org/CVERecord?id=CVE-2026-33168 Référence CVE CVE-2026-33169 https://www.cve.org/CVERecord?id=CVE-2026-33169 Référence CVE CVE-2026-33170 https://www.cve.org/CVERecord?id=CVE-2026-33170 Référence CVE CVE-2026-33173 https://www.cve.org/CVERecord?id=CVE-2026-33173 Référence CVE CVE-2026-33174 https://www.cve.org/CVERecord?id=CVE-2026-33174 Référence CVE CVE-2026-33176 https://www.cve.org/CVERecord?id=CVE-2026-33176 Référence CVE CVE-2026-33195 https://www.cve.org/CVERecord?id=CVE-2026-33195 Référence CVE CVE-2026-33202 https://www.cve.org/CVERecord?id=CVE-2026-33202 Référence CVE CVE-2026-33658 https://www.cve.org/CVERecord?id=CVE-2026-33658 Gestion détaillée du document le 24 mars 2026 Version initiale
← Retour