Ruby on Rails セキュリティ修正8.1.2.1、8.0.4.1、7.2.3.1がリリースされました。
総計で10件のセキュリティ修正が行われています。
- Action Pack: 1件
- Action View: 1件
- Active Support: 3件
- Active Storage: 5件
Ruby on Rails: Compress the complexity of modern web apps ➜ Rails Versions 7.2.3.1, 8.0.4.1, and 8.1.2.1 have been released! https://t.co/LDuKRnkCc5
— RUBYLAND (@rubylandnews) March 23, 2026
英語版Changelogをまとめて見るにはGItHubのリリースタグ↓が便利です。
- Release 8.1.2.1 · rails/rails -- 2026/03/24 04:21(日本時間)
- Release 8.0.4.1 · rails/rails-- 2026/03/24 04:38(日本時間)
- Release 7.2.3.1 · rails/rails-- 2026/03/24 04:32(日本時間)
詳しくは以下のコミットリストをご覧ください。
- Comparing v8.1.2...v8.1.2.1 · rails/rails
- Comparing v8.0.4...v8.0.4.1 · rails/rails
- Comparing v7.2.3...v7.2.3.1 · rails/rails
🔗 セキュリティ修正の概要
10件のセキュリティ修正すべてについてパッチも公開されています。
Railsのセキュリティ関連メンテナンスポリシーについて詳しくは以下を参照してください。
参考: §4 セキュリティ問題 -- Ruby on Rails のメンテナンスポリシー - Railsガイド
なお、セキュリティ関連のトピックは以下のRuby on Rails Discussionsのsecurityトピックで一覧できます。
参考: Latest security topics - Ruby on Rails Discussions
🔗 1: [CVE-2026-33167] Possible XSS vulnerability in Action Pack debug exceptions - Security Announcements - Ruby on Rails Discussions
詳しくは上のトピックを参照してください。
- 影響を受けるRailsバージョンと機能
- Action Pack 8.1以上8.1.2.1未満
- 影響を受けない既存Railsバージョン
- Action Pack 8.0.x.y以下
- 修正済みバージョン
- Action Pack 8.1.2.1以降
🔗 2: [CVE-2026-33168] Possible XSS vulnerability in Action View tag helpers - Security Announcements - Ruby on Rails Discussions
詳しくは上のトピックを参照してください。
- 影響を受けるRailsバージョンと機能
- Action View 8.1以上8.1.2.1未満
Action View 8.0以上8.0.4.1未満
Action View 7.2.3.1未満 - 影響を受けない既存Railsバージョン
- なし
- 修正済みバージョン
- Action View 8.1.2.1以降
Action View 8.0.4.1以降
Action View 7.2.3.1以降
🔗 3: [CVE-2026-33169] Possible ReDoS vulnerability in number_to_delimited in Active Support - Security Announcements - Ruby on Rails Discussions
詳しくは上のトピックを参照してください。
- 影響を受けるRailsバージョンと機能
- Active Support 8.1以上8.1.2.1未満
Active Support 8.0以上8.0.4.1未満
Active Support 7.2.3.1未満 - 影響を受けない既存Railsバージョン
- なし
- 修正済みバージョン
- Active Support 8.1.2.1以降
Active Support 8.0.4.1以降
Active Support 7.2.3.1以降
🔗 4: [CVE-2026-33170] Possible XSS vulnerability in SafeBuffer#% in Active Support - Security Announcements - Ruby on Rails Discussions
詳しくは上のトピックを参照してください。
- 影響を受けるRailsバージョンと機能
- Active Support 8.1以上8.1.2.1未満
Active Support 8.0以上8.0.4.1未満
Active Support 7.2.3.1未満 - 影響を受けない既存Railsバージョン
- なし
- 修正済みバージョン
- Active Support 8.1.2.1以降
Active Support 8.0.4.1以降
Active Support 7.2.3.1以降
🔗 5: [CVE-2026-33173] Insufficient filtering of metadata in Active Storage direct uploads - Security Announcements - Ruby on Rails Discussions
詳しくは上のトピックを参照してください。
- 影響を受けるRailsバージョンと機能
- Active Storage 8.1以上8.1.2.1未満
Active Storage 8.0以上8.0.4.1未満
Active Storage 7.2.3.1未満 - 影響を受けない既存Railsバージョン
- なし
- 修正済みバージョン
- Active Storage 8.1.2.1以降
Active Storage 8.0.4.1以降
Active Storage 7.2.3.1以降
🔗 6: [CVE-2026-33174] Possible DoS vulnerability in Active Storage proxy mode via Range requests - Security Announcements - Ruby on Rails Discussions
詳しくは上のトピックを参照してください。
- 影響を受けるRailsバージョンと機能
- Active Storage 8.1以上8.1.2.1未満
Active Storage 8.0以上8.0.4.1未満
Active Storage 7.2.3.1未満 - 影響を受けない既存Railsバージョン
- なし
- 修正済みバージョン
- Active Storage 8.1.2.1以降
Active Storage 8.0.4.1以降
Active Storage 7.2.3.1以降
🔗 7: [CVE-2026-33176] Possible DoS vulnerability in Active Support number helpers - Security Announcements - Ruby on Rails Discussions
詳しくは上のトピックを参照してください。
- 影響を受けるRailsバージョンと機能
- Active Support 8.1以上8.1.2.1未満
Active Support 8.0以上8.0.4.1未満
Active Support 7.2.3.1未満 - 影響を受けない既存Railsバージョン
- なし
- 修正済みバージョン
- Active Support 8.1.2.1以降
Active Support 8.0.4.1以降
Active Support 7.2.3.1以降
🔗 8: [CVE-2026-33195] Possible path traversal in Active Storage DiskService - Security Announcements - Ruby on Rails Discussions
詳しくは上のトピックを参照してください。
- 影響を受けるRailsバージョンと機能
- Active Storage 8.1以上8.1.2.1未満
Active Storage 8.0以上8.0.4.1未満
Active Storage 7.2.3.1未満 - 影響を受けない既存Railsバージョン
- なし
- 修正済みバージョン
- Active Storage 8.1.2.1以降
Active Storage 8.0.4.1以降
Active Storage 7.2.3.1以降
🔗 9: [CVE-2026-33202] Possible glob injection in Active Storage DiskService - Security Announcements - Ruby on Rails Discussions
詳しくは上のトピックを参照してください。
- 影響を受けるRailsバージョンと機能
- Active Storage 8.1以上8.1.2.1未満
Active Storage 8.0以上8.0.4.1未満
Active Storage 7.2.3.1未満 - 影響を受けない既存Railsバージョン
- なし
- 修正済みバージョン
- Active Storage 8.1.2.1以降
Active Storage 8.0.4.1以降
Active Storage 7.2.3.1以降
🔗 10: [CVE-2026-33658] Possible DoS vulnerability in Active Storage proxy mode via multi-range requests - Security Announcements - Ruby on Rails Discussions
詳しくは上のトピックを参照してください。
- 影響を受けるRailsバージョンと機能
- Active Storage 8.1以上8.1.2.1未満
Active Storage 8.0以上8.0.4.1未満
Active Storage 7.2.3.1未満 - 影響を受けない既存Railsバージョン
- なし
- 修正済みバージョン
- Active Storage 8.1.2.1以降
Active Storage 8.0.4.1以降
Active Storage 7.2.3.1以降
TechRachoではRubyやRailsの最新情報などの記事を平日に公開しています。TechRacho記事をいち早くお読みになりたい方はTwitterにて@techrachoのフォローをお願いします。また、タグやカテゴリごとにRSSフィードを購読することもできます(例:Railsリリース情報タグ)