Das Web-Framework Ruby on Rails enthält im Modul zum Schutz vor Cross Site Request Forgery (CSRF) einen sicherheitskritischen Fehler. Davon sind die Rails-Versionen 2.1, 2.2, 2.3, und 3.0 betroffen. Unter bestimmten Umständen kann ein Angreifer dem Browser argloser Anwender manipulierte HTTP-Header unterschieben, die dann zum Angriff auf eine Webanwendung dienen. Allen Anwendern des CSRF-Moduls raten die Rails-Entwickler zum Update. Die Sicherheitslücke wird in der CVE-Datenbank unter der ID CVE-2011-0447 geführt.

Für die aktuellen Versionen 2.3 und 3.0 gibt es Updates im Ruby-eigenen Gem-Paket-Format, für die älteren Versionen nur Source-Code-Patches. Die aktualisierten Rails-Releases 3.0.4 und 2.3.11, die die Bugfixes bereits enthalten, stehen ebenfalls zum Download bereit. Über das Update hinaus, das ein neues Security-Token im Ablauf von Rails-Anwendungen vorsieht, müssen Rails-Programmierer ihre Anwendungen entsprechend überarbeiten. Hinweise dazu gibt Webseite, die die Sicherheitslücke dokumentiert.