S’ha trobat una falla de desserialització insegura a Active Record, que utilitza YAML.unsafe_load per convertir les dades YAML en objectes Ruby.
20/05/2026
CVE-2026-24178
CRÍTIC (9,8)
CVSS3: 0,0
Hi ha una possible escalada a una vulnerabilitat RCE quan s’utilitzen columnes serialitzades YAML a Active Record < 7.0.3.1, <6.1.6.1, <6.0.5.1 i <5.2.8.1, cosa que podria permetre a un atacant, que pot manipular dades de la base de dades (mitjançant mètodes com la injecció SQL), escalar a un RCE.
Sistemes Afectats
- Activerecord Project Activerecord
Remediació
Vegeu-ne les Referències.
