Gerade eben gab es ein Patch-Release von Rails. Wichtig: Hierbei sollte jeder so schnell es geht updaten.
Das Update beseitigt eine Sicherheitslücke in ActiveRecord. Dadurch war es möglich, dass in den dynamic Filters von ActiveRecord SQL-Code eingeschleust werden konnte.
Ein Beispiel:
User.find_by_id(params[:id])
Dieser dynamische Filter liefert den ersten User mit der übergebenen ID zurück. Ebenso wie:
User.where(id: params[:id]).first
Mittels einem Hash kann als Parameter auch SQL Syntax mitgegeben werden, welche ausgeführt wird. Um dies zu umgehen, sollte schnellstmöglichst auf die aktuelle Rails Version upgedated werden. Sollte das nicht möglich sein, wurden dafür auch Patches bereitgestellt.
Danke für den Hinweis!