Multiple Ruby on Rails Vulnerabilities Allow Remote Code Execution

CERT-FR Security Advisories

Published March 24th, 2026

Detected March 24th, 2026

Summary

CERT-FR has issued an advisory regarding multiple vulnerabilities discovered in Ruby on Rails versions. These vulnerabilities could allow attackers to achieve remote code execution, denial of service, or data integrity breaches. Affected systems include various versions of actionpack, actionview, activestorage, and activesupport.

View original document View source feed page

What changed

CERT-FR, the French national cybersecurity agency, has issued an advisory (CERTFR-2026-AVI-0349) detailing multiple critical vulnerabilities in Ruby on Rails. The vulnerabilities, identified in specific versions of actionpack, actionview, activestorage, and activesupport, can lead to arbitrary remote code execution, remote denial of service, and data integrity compromises. The advisory references several Ruby on Rails security bulletins from March 23, 2026, which provide specific CVE details and patch information.

Organizations utilizing affected versions of Ruby on Rails must immediately consult the provided security bulletins and apply the necessary patches or updates released by the vendor. Failure to do so could expose systems to significant security risks, including unauthorized access and control, data corruption, and service disruption. The CERT-FR advisory emphasizes the need for prompt action to mitigate these risks.

What to do next

Review affected Ruby on Rails versions and identify installations.
Apply vendor-provided security patches and updates promptly.
Consult Ruby on Rails security bulletins for detailed vulnerability information.

Source document (simplified)

Premier Ministre S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 24 mars 2026 N° CERTFR-2026-AVI-0349 Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans Ruby on Rails

Gestion du document

| Référence | CERTFR-2026-AVI-0349 |
| Titre | Multiples vulnérabilités dans Ruby on Rails |
| Date de la première version | 24 mars 2026 |
| Date de la dernière version | 24 mars 2026 |
| Source(s) | Bulletin de sécurité Ruby on Rails 90903 du 23 mars 2026
Bulletin de sécurité Ruby on Rails 90904 du 23 mars 2026
Bulletin de sécurité Ruby on Rails 90906 du 23 mars 2026
Bulletin de sécurité Ruby on Rails 90907 du 23 mars 2026
Bulletin de sécurité Ruby on Rails 90908 du 23 mars 2026
Bulletin de sécurité Ruby on Rails 90909 du 23 mars 2026
Bulletin de sécurité Ruby on Rails 90910 du 23 mars 2026
Bulletin de sécurité Ruby on Rails 90911 du 23 mars 2026
Bulletin de sécurité Ruby on Rails 90912 du 23 mars 2026
Bulletin de sécurité Ruby on Rails 90913 du 23 mars 2026 |
Une gestion de version détaillée se trouve à la fin de ce document.

Risques

Atteinte à l'intégrité des données
Contournement de la politique de sécurité
Déni de service à distance
Exécution de code arbitraire à distance
Injection de code indirecte à distance (XSS)

Systèmes affectés

actionpack versions 8.1.x antérieures à 8.1.2.1
actionview versions 8.0.x antérieures à 8.0.4.1
actionview versions 8.1.x antérieures à 8.1.2.1
actionview versions antérieures à 7.2.3.1
activestorage versions 8.0.x antérieures à 8.0.4.1
activestorage versions 8.1.x antérieures à 8.1.2.1
activestorage versions antérieures à 7.2.3.1
activesupport versions 8.0.x antérieures à 8.0.4.1
activesupport versions 8.1.x antérieures à 8.1.2.1
activesupport versions antérieures à 7.2.3.1

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Ruby on Rails. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à l'intégrité des données.