Rails 6.0.3.2 has been released! | Riding Rails

security updateがreleaseされてました。
珍しい脆弱性だったのでご紹介。
急いであげる必要はないような脆弱性ですが、対応したい人は上げておきましょう。
　

内容

ここに書かれてます。
[CVE-2020-8185] Untrusted users able to run pending migrations in production

Using this issue, an attacker would be able to execute any migrations that
are pending for a Rails app running in production mode. It is important to
note that an attacker is limited to running migrations the application
developer has already defined in their application and ones that have not
already ran.

Pending Migrationが実行できるというなんとも変わった脆弱性でした。 というよりも、例外の詳細を表示させることができ、PendingMigrationがある場合は実行できるというもののようでした。

patchをみても、脆弱性の全容が全く分からなかったのですが、
ググってみると、ActionableExceptions に関するもののようで エラー画面からmigrateできる機能に関するもののようです。
こんなんあったんですね。（必要性は感じないけど）

以下に画像付きで紹介されてました。
rails commit log流し読み(2019/04/19) - なるようになるブログ