Ruby on Rails je oblíbený framework pro tvorbu webových aplikací v jazyce Ruby. Nedávno v něm byla odhalena závažná bezpečnostní chyba, která umožňuje v některých případech provést útok typu SQL injection. Již byly vydány opravné verze (3.2.10, 3.1.9 a 3.0.18), vřele se doporučuje na ně ze starších verzí aktualizovat.
Problém spočívá v cookies pro uživatelské relace (sessions). Cookies se sice standardně podepisují algoritmem HMAC, nicméně mnohdy bývá (zvláště u šířených hotových aplikací) ponechán beze změny výchozí tajný klíč, takže může útočník tento klíč pro danou aplikaci snadno zjistit a následně provést útok pomocí podvržené (a podepsané) cookie.