On March 23, 2026, the Ruby on Rails security team shipped patches across three active release lines simultaneously — versions 7.2.3.1, 8.0.4.1, and 8.1.2.1 — fixing 9 CVEs in a single day. The vulnerabilities span Active Storage path traversal, glob injection, XSS in Action Pack and Action View, ReDoS in Active Support, and two separate denial-of-service vectors. Teams running Rails 7.0 or 7.1 received nothing: both branches are end-of-life and will never see patches for these issues. On top of that, Microsoft's security researchers identified CVE-2026-35611 in the widely-used Addressable gem — a ReDoS affecting all versions below 2.9.0 that can exhaust CPU with a single crafted request.

Le 23 mars 2026, l'équipe sécurité de Ruby on Rails a publié des correctifs sur trois branches actives simultanément — les versions 7.2.3.1, 8.0.4.1 et 8.1.2.1 — corrigeant 9 CVE en une seule journée. Les vulnérabilités couvrent la traversal de répertoire dans Active Storage, l'injection glob, des XSS dans Action Pack et Action View, un ReDoS dans Active Support et deux vecteurs de déni de service distincts. Les équipes sur Rails 7.0 ou 7.1 n'ont rien reçu : ces deux branches sont en fin de vie et ne recevront jamais de patch pour ces problèmes. De plus, les chercheurs en sécurité de Microsoft ont identifié CVE-2026-35611 dans le gem Addressable très utilisé — un ReDoS affectant toutes les versions inférieures à 2.9.0, capable d'épuiser le CPU avec une seule requête malformée.

9
CVEs patched in one day (March 23, 2026)
CVE corrigées en une journée (23 mars 2026)
Source: rubyonrails.org, 2026
8.0
CVSS v4.0 score for CVE-2026-33195 (Active Storage path traversal)
Score CVSS v4.0 de CVE-2026-33195 (traversal Active Storage)
Source: NVD, 2026
21K+
Companies actively using Ruby on Rails worldwide
Entreprises utilisant Ruby on Rails dans le monde
Source: TechnologyChecker.io, 2026
2
Rails branches (7.0, 7.1) that received zero patches — permanently unpatched
Branches Rails (7.0, 7.1) sans correctif — vulnérables pour toujours
Source: HeroDevs, rubyonrails.org, 2026

The March 2026 Rails Security Release: 9 CVEs Across Every Active Branch

La Release Sécurité Rails de Mars 2026 : 9 CVE sur Toutes les Branches Actives

On March 23, 2026, the Rails core team published security releases 7.2.3.1, 8.0.4.1, and 8.1.2.1 to address nine vulnerabilities discovered across the Active Storage, Action Pack, Action View, and Active Support subsystems. The patches were accompanied by bugfix releases 8.0.5 and 8.1.3 the following day. This is one of the largest single-day security events in Rails history, affecting every supported version simultaneously.

Le 23 mars 2026, l'équipe Rails a publié les versions de sécurité 7.2.3.1, 8.0.4.1 et 8.1.2.1 pour corriger neuf vulnérabilités dans Active Storage, Action Pack, Action View et Active Support. Les correctifs ont été accompagnés des versions bugfix 8.0.5 et 8.1.3 le lendemain. C'est l'un des événements de sécurité les plus importants en une journée dans l'histoire de Rails, touchant toutes les versions supportées simultanément.

Here is the complete CVE matrix from the March 2026 patch day (source: rubyonrails.org security announcements and NVD):

Voici la matrice complète des CVE de la journée de patch de mars 2026 (source : annonces sécurité rubyonrails.org et NVD) :

CVE Component Type Severity Fixed In CVE Composant Type Sévérité Corrigé dans
CVE-2026-33195 Active Storage DiskService Path Traversal High (8.0) 7.2.3.1 / 8.0.4.1 / 8.1.2.1 CVE-2026-33195 Active Storage DiskService Traversal de répertoire Haute (8.0) 7.2.3.1 / 8.0.4.1 / 8.1.2.1
CVE-2026-33202 Active Storage DiskService Glob Injection Medium 7.2.3.1 / 8.0.4.1 / 8.1.2.1 CVE-2026-33202 Active Storage DiskService Injection Glob Moyenne 7.2.3.1 / 8.0.4.1 / 8.1.2.1
CVE-2026-33173 Active Storage Direct Uploads Metadata Leak Medium 7.2.3.1 / 8.0.4.1 / 8.1.2.1 CVE-2026-33173 Active Storage Direct Uploads Fuite de métadonnées Moyenne 7.2.3.1 / 8.0.4.1 / 8.1.2.1
CVE-2026-33174 Active Storage Proxy DoS (Range requests) Medium 7.2.3.1 / 8.0.4.1 / 8.1.2.1 CVE-2026-33174 Active Storage Proxy DoS (requêtes Range) Moyenne 7.2.3.1 / 8.0.4.1 / 8.1.2.1
CVE-2026-33176 Active Support (number helpers) DoS (scientific notation) Medium 7.2.3.1 / 8.0.4.1 / 8.1.2.1 CVE-2026-33176 Active Support (helpers numériques) DoS (notation scientifique) Moyenne 7.2.3.1 / 8.0.4.1 / 8.1.2.1
CVE-2026-33169 Active Support (number_to_delimited) ReDoS Medium 7.2.3.1 / 8.0.4.1 / 8.1.2.1 CVE-2026-33169 Active Support (number_to_delimited) ReDoS Moyenne 7.2.3.1 / 8.0.4.1 / 8.1.2.1
CVE-2026-33167 Action Pack (debug exceptions) XSS Medium 7.2.3.1 / 8.0.4.1 / 8.1.2.1 CVE-2026-33167 Action Pack (debug exceptions) XSS Moyenne 7.2.3.1 / 8.0.4.1 / 8.1.2.1
CVE-2026-33168 Action View (tag helpers) XSS Medium 7.2.3.1 / 8.0.4.1 / 8.1.2.1 CVE-2026-33168 Action View (tag helpers) XSS Moyenne 7.2.3.1 / 8.0.4.1 / 8.1.2.1
CVE-2026-33170 Active Support (SafeBuffer#%) XSS Medium 7.2.3.1 / 8.0.4.1 / 8.1.2.1 CVE-2026-33170 Active Support (SafeBuffer#%) XSS Moyenne 7.2.3.1 / 8.0.4.1 / 8.1.2.1

CVE-2026-33195: Active Storage Path Traversal — Read, Write, or Delete Arbitrary Files

CVE-2026-33195 : Traversal Active Storage — Lecture, Écriture ou Suppression de Fichiers Arbitraires

CVE-2026-33195 is the most severe vulnerability from the March 2026 batch, rated CVSS v4.0 8.0 (High). It resides in Active Storage::DiskService#path_for, which resolves the absolute filesystem path for a stored blob. The method failed to validate that the resolved path remains within the configured storage root directory. An attacker who can control or influence the blob key — the identifier used to retrieve a file — can supply path traversal sequences such as ../ to escape the storage root.

CVE-2026-33195 est la vulnérabilité la plus grave du lot de mars 2026, notée CVSS v4.0 8.0 (Haute). Elle se trouve dans Active Storage::DiskService#path_for, qui résout le chemin absolu sur le système de fichiers pour un blob stocké. La méthode ne vérifiait pas que le chemin résolu reste dans le répertoire racine de stockage configuré. Un attaquant capable de contrôler ou d'influencer la clé de blob — l'identifiant utilisé pour récupérer un fichier — peut fournir des séquences de traversal comme ../ pour s'échapper de la racine de stockage.

The practical impact is severe: a successful exploit can read sensitive configuration files (config/master.key, .env), overwrite application code, or delete arbitrary files. The attack surface depends on how your application assigns blob keys. If blob keys are generated internally by Rails (the default), the risk is limited to authenticated users with file upload privileges. If your code passes any user-controlled value as a blob key — even indirectly — the vulnerability becomes exploitable by any user who can reach the relevant endpoint.

L'impact pratique est grave : un exploit réussi peut lire des fichiers de configuration sensibles (config/master.key, .env), écraser du code applicatif, ou supprimer des fichiers arbitraires. La surface d'attaque dépend de la manière dont votre application assigne les clés de blob. Si les clés de blob sont générées en interne par Rails (comportement par défaut), le risque est limité aux utilisateurs authentifiés disposant de privilèges d'upload. Si votre code passe une valeur contrôlée par l'utilisateur comme clé de blob — même indirectement — la vulnérabilité devient exploitable par tout utilisateur ayant accès à l'endpoint concerné.

A companion vulnerability, CVE-2026-33202, was patched in the same release. It is a glob injection in the same DiskService component: by injecting glob metacharacters (*, ?, [) into a blob key, an attacker can cause the disk service to enumerate files matching unintended patterns. Both vulnerabilities were introduced in Rails 8.1.0.beta1 for the newer DiskService implementation and backported to older 8.0 and 7.2 branches.

Une vulnérabilité parallèle, CVE-2026-33202, a été corrigée dans la même release. Il s'agit d'une injection glob dans le même composant DiskService : en injectant des métacaractères glob (*, ?, [) dans une clé de blob, un attaquant peut forcer le service disque à énumérer des fichiers correspondant à des patterns non prévus. Les deux vulnérabilités ont été introduites dans Rails 8.1.0.beta1 pour la nouvelle implémentation DiskService et rétro-portées aux branches 8.0 et 7.2.

Vulnerable code pattern — if you pass a user-provided value as the blob key:

Pattern de code vulnérable — si vous passez une valeur fournie par l'utilisateur comme clé de blob :

# VULNERABLE — never do this
blob = ActiveStorage::Blob.find_by!(key: params[:file_key])
url = blob.service_url

# SAFE — always use internal Rails-generated keys
blob = ActiveStorage::Blob.find(params[:blob_id])
url = blob.service_url

The mitigation is straightforward: upgrade to 7.2.3.1, 8.0.4.1, or 8.1.2.1. If you cannot upgrade immediately, audit every code path where a blob key could originate from user input. Also review your config/storage.yml — if you are using the :disk service in production (rather than S3 or GCS), this vulnerability is directly exploitable on the host filesystem.

La mitigation est directe : mettez à niveau vers 7.2.3.1, 8.0.4.1 ou 8.1.2.1. Si vous ne pouvez pas mettre à niveau immédiatement, auditez chaque chemin de code où une clé de blob pourrait provenir d'une entrée utilisateur. Examinez aussi votre config/storage.yml — si vous utilisez le service :disk

CVE-2026-35611: Addressable Gem ReDoS — Microsoft’s Warning to the Rails Ecosystem

CVE-2026-35611 : ReDoS du Gem Addressable — L’Avertissement de Microsoft à l’Écosystème Rails

Outside of the core Rails release, Microsoft's security team published an advisory for CVE-2026-35611, a Regular Expression Denial of Service (ReDoS) in the addressable gem — one of the most widely-depended-upon Ruby libraries, used directly by Rails via Active Support and transitively by hundreds of thousands of applications through gems like faraday, httparty, and rest-client.

En dehors de la release core Rails, l'équipe sécurité de Microsoft a publié un advisory pour CVE-2026-35611, un Regular Expression Denial of Service (ReDoS) dans le gem addressable — l'une des bibliothèques Ruby les plus utilisées, employée directement par Rails via Active Support et de manière transitive par des centaines de milliers d'applications via des gems comme faraday, httparty et rest-client.

The vulnerability sits inside Addressable::Template, the class that parses URI templates like https://api.example.com/{+path}. When a template contains nested optional segments with specific wildcard combinations, the underlying regular expression engine enters catastrophic backtracking — an exponential growth in evaluation steps that completely pegs server CPU. A single HTTP request with a crafted URI can bring a Rails worker to its knees for minutes, effectively causing a denial of service.

La vulnérabilité se trouve dans Addressable::Template, la classe qui parse les templates d'URI comme https://api.example.com/{+path}. Quand un template contient des segments optionnels imbriqués avec des combinaisons spécifiques de wildcards, le moteur de regex sous-jacent entre dans un backtracking catastrophique — une croissance exponentielle des étapes d'évaluation qui monopolise complètement le CPU du serveur. Une seule requête HTTP avec un URI bien conçu peut rendre un worker Rails inutilisable pendant des minutes, causant ainsi un déni de service effectif.

All versions of Addressable from 2.3.0 up to (but not including) 2.9.0 are affected. The fix in 2.9.0 rewrites the affected regular expressions to eliminate catastrophic backtracking. Check your Gemfile.lock for the installed version:

Toutes les versions d'Addressable de 2.3.0 jusqu'à (mais non inclus) 2.9.0 sont affectées. Le correctif dans 2.9.0 réécrit les expressions régulières concernées pour éliminer le backtracking catastrophique. Vérifiez votre Gemfile.lock pour la version installée : 

# Check installed version
grep "addressable" Gemfile.lock

# Update addressable
bundle update addressable

# If you want to target it specifically in Gemfile
gem "addressable", ">= 2.9.0"

If you use Addressable with URI templates that accept external input — for example, building API endpoint URLs from user-supplied parameters — this vulnerability is directly exploitable. Microsoft recommends also implementing input validation and rate limiting as defense-in-depth measures while you apply the patch.

Si vous utilisez Addressable avec des templates d'URI qui acceptent des entrées externes — par exemple, construire des URLs d'endpoints API à partir de paramètres fournis par l'utilisateur — cette vulnérabilité est directement exploitable. Microsoft recommande également d'implémenter la validation des entrées et le rate limiting comme mesures de défense en profondeur pendant l'application du patch.

The EOL Problem: Rails 7.0 and 7.1 Will Never Be Patched

Le Problème EOL : Rails 7.0 et 7.1 Ne Seront Jamais Corrigés

Every one of the nine March 2026 CVEs was patched in Rails 7.2, 8.0, and 8.1. Rails 7.0 and 7.1 received nothing. Both are officially end-of-life: the Rails security team explicitly does not backport fixes to unsupported branches. If your application is running Rails 7.0 or 7.1, you are now permanently exposed to CVE-2026-33195 (Active Storage path traversal, CVSS 8.0), CVE-2026-33167 and CVE-2026-33168 (XSS), and seven other known vulnerabilities — with no official fix available.

Chacune des neuf CVE de mars 2026 a été corrigée dans Rails 7.2, 8.0 et 8.1. Rails 7.0 et 7.1 n'ont rien reçu. Les deux sont officiellement en fin de vie : l'équipe sécurité de Rails ne fait explicitement pas de backport vers les branches non supportées. Si votre application tourne sur Rails 7.0 ou 7.1, vous êtes désormais permanemment exposé à CVE-2026-33195 (traversal Active Storage, CVSS 8.0), CVE-2026-33167 et CVE-2026-33168 (XSS), et sept autres vulnérabilités connues — sans correctif officiel disponible.

According to HeroDevs, the EOL situation in Rails is compounded by the Ruby runtime itself: Ruby 3.1 reached EOL in March 2025, Ruby 3.2 reaches EOL in March 2026, and Ruby 3.3 reaches EOL in March 2027. Many teams running legacy Rails applications are unknowingly running an EOL Ruby interpreter under an EOL Rails version — a dual EOL stack that receives zero security patches from either project.

Selon HeroDevs, la situation EOL de Rails est aggravée par le runtime Ruby lui-même : Ruby 3.1 a atteint l'EOL en mars 2025, Ruby 3.2 atteint l'EOL en mars 2026, et Ruby 3.3 atteint l'EOL en mars 2027. De nombreuses équipes gérant des applications Rails héritées utilisent sans le savoir un interpréteur Ruby EOL sous une version Rails EOL — une stack doublement EOL qui ne reçoit de correctif sécurité d'aucun des deux projets.

The supported Rails branches as of May 2026, and their EOL timelines:

Les branches Rails supportées en mai 2026 et leurs échéances EOL :

Branch Status March 2026 Patches Branche Statut Patches mars 2026
Rails 8.1.x ✓ Supported ✓ Received all 9 patches Rails 8.1.x ✓ Supporté ✓ 9 patches reçus
Rails 8.0.x ✓ Supported ✓ Received all 9 patches Rails 8.0.x ✓ Supporté ✓ 9 patches reçus
Rails 7.2.x ✓ Supported ✓ Received all 9 patches Rails 7.2.x ✓ Supporté ✓ 9 patches reçus
Rails 7.1.x ✕ EOL ✕ No patches — permanently vulnerable Rails 7.1.x ✕ EOL ✕ Aucun patch — vulnérable en permanence
Rails 7.0.x ✕ EOL ✕ No patches — permanently vulnerable Rails 7.0.x ✕ EOL ✕ Aucun patch — vulnérable en permanence

Bundler and RubyGems: The Dependency Security Blind Spot

Bundler et RubyGems : L’Angle Mort de la Sécurité des Dépendances

Beyond Rails-core vulnerabilities, the Ruby ecosystem faces a structural challenge with dependency security that few teams have addressed. Bundler, the package manager that resolves Gemfile dependencies, does not yet implement a native cooldown mechanism — a feature that prevents auto-installing newly published gem versions for a brief period after release. JavaScript package managers (npm, pnpm, yarn) and Python (pip) shipped similar cooldown protections in a six-month span from late 2025 through early 2026. Bundler has no open feature request tracking this functionality as of mid-2026.

Au-delà des vulnérabilités du core Rails, l'écosystème Ruby fait face à un défi structurel de sécurité des dépendances que peu d'équipes ont traité. Bundler, le gestionnaire de paquets qui résout les dépendances Gemfile, n'implémente pas encore de mécanisme natif de cooldown — une fonctionnalité qui empêche l'installation automatique des versions de gems récemment publiées pendant une courte période après leur sortie. Les gestionnaires de paquets JavaScript (npm, pnpm, yarn) et Python (pip) ont introduit des protections similaires sur une période de six mois entre fin 2025 et début 2026. Bundler n'a aucune feature request ouverte sur cette fonctionnalité à mi-2026.

A second risk is dependency confusion. When gems are not explicitly sourced in the Gemfile (i.e., no source: directive pointing to a private registry), Bundler can resolve them from RubyGems.org. An attacker who knows the name of your private internal gem can publish a higher-versioned gem with the same name on RubyGems.org, which Bundler will silently install over your internal version. A Medium researcher demonstrated this exact attack against a Rails application in January 2026, achieving remote code execution against the target.

Un deuxième risque est la confusion de dépendances. Quand les gems ne sont pas explicitement sourced dans le Gemfile (c'est-à-dire sans directive source: pointant vers un registre privé), Bundler peut les résoudre depuis RubyGems.org. Un attaquant qui connaît le nom de votre gem interne privé peut publier une gem de version supérieure avec le même nom sur RubyGems.org, que Bundler installera silencieusement par-dessus votre version interne. Un chercheur sur Medium a démontré exactement cette attaque contre une application Rails en janvier 2026, obtenant une exécution de code à distance sur la cible.

The practical defenses are straightforward and should be applied to every Rails project:

Les défenses pratiques sont simples et doivent être appliquées à chaque projet Rails : 

# 1. Pin all sources explicitly in Gemfile
source "https://rubygems.org" do
  gem "rails", "~> 8.1"
  gem "addressable", ">= 2.9.0"
  # ...
end

# 2. For private gems, always specify the source
gem "my-internal-gem", source: "https://gems.internal.example.com"

# 3. Enable checksum verification (Bundler 2.5+)
# In Gemfile:
# bundle config set checksum_store path/to/checksums
# 4. Run bundler-audit regularly in CI
gem install bundler-audit
bundle audit check --update

# 5. Generate a Gemfile.lock audit report
bundle audit

Rails Security Hardening Checklist for 2026

Checklist de Durcissement Sécurité Rails pour 2026

The following checklist consolidates the most impactful actions a Rails developer or team can take in 2026, organized by priority:

La checklist suivante consolide les actions les plus impactantes qu'un développeur ou une équipe Rails peut entreprendre en 2026, organisées par priorité :

Priority 1 — Patch Now

Priorité 1 — Patcher Maintenant

  • ☐ Upgrade to Rails 7.2.3.1, 8.0.4.1, or 8.1.2.1 (patches CVE-2026-33195 + 8 others)
  • ☐ Mettre à jour vers Rails 7.2.3.1, 8.0.4.1 ou 8.1.2.1 (corrige CVE-2026-33195 + 8 autres)
  • ☐ Upgrade addressable gem to ≥ 2.9.0 (patches CVE-2026-35611 ReDoS)
  • ☐ Mettre à jour le gem addressable vers ≥ 2.9.0 (corrige CVE-2026-35611 ReDoS)
  • ☐ Confirm Rails version in production: rails --version or check Gemfile.lock
  • ☐ Vérifier la version Rails en production : rails --version ou consulter Gemfile.lock

Priority 2 — Active Storage Audit

Priorité 2 — Audit Active Storage

  • ☐ Search codebase for any Blob.find_by(key:) or path_for calls using user input
  • ☐ Rechercher dans le code tout appel Blob.find_by(key:) ou path_for utilisant des entrées utilisateur
  • ☐ If using :disk storage in production, prioritize migration to S3/GCS/Azure
  • ☐ Si vous utilisez le stockage :disk en production, prioriser la migration vers S3/GCS/Azure
  • ☐ Review Active Storage direct upload configuration — CVE-2026-33173 affects metadata filtering
  • ☐ Vérifier la configuration des uploads directs Active Storage — CVE-2026-33173 affecte le filtrage des métadonnées

Priority 3 — Dependency Monitoring

Priorité 3 — Monitoring des Dépendances

  • ☐ Add bundler-audit to CI pipeline — runs on every PR
  • ☐ Ajouter bundler-audit au pipeline CI — s'exécute sur chaque PR
  • ☐ Enable Bundler checksum verification for gems sourced outside RubyGems.org
  • ☐ Activer la vérification des checksums Bundler pour les gems hors RubyGems.org
  • ☐ Subscribe to the Rails Security Announcements mailing list or RSS feed
  • ☐ S'abonner à la mailing list ou au flux RSS des annonces sécurité Rails
  • ☐ Automate CVE alerts on your Gemfile.lock with a continuous monitoring tool
  • ☐ Automatiser les alertes CVE sur votre Gemfile.lock avec un outil de monitoring continu

Frequently Asked Questions

Questions fréquentes

Is CVE-2026-33195 being actively exploited in the wild?

CVE-2026-33195 est-elle activement exploitée dans la nature ?

As of the time of writing (May 2026), there are no confirmed reports of active exploitation of CVE-2026-33195 in the wild. However, path traversal vulnerabilities are well-understood by attackers and proof-of-concept code typically emerges quickly after public disclosure. The patch was released March 23, 2026 — teams that have not yet upgraded should treat this as urgent. The CVSS v4.0 score of 8.0 reflects the real-world severity for applications where blob keys can be influenced by user input.

Au moment de la rédaction (mai 2026), il n'existe aucun rapport confirmé d'exploitation active de CVE-2026-33195 dans la nature. Cependant, les vulnérabilités de traversal de répertoire sont bien comprises des attaquants et le code proof-of-concept émerge généralement rapidement après la divulgation publique. Le patch a été publié le 23 mars 2026 — les équipes qui n'ont pas encore mis à jour doivent traiter cela comme urgent. Le score CVSS v4.0 de 8.0 reflète la sévérité réelle pour les applications où les clés de blob peuvent être influencées par des entrées utilisateur.

I’m on Rails 7.1 and can’t upgrade right now. What can I do?

Je suis sur Rails 7.1 et ne peux pas mettre à jour maintenant. Que faire ?

Rails 7.1 will not receive patches for the March 2026 CVEs. Your immediate options are: (1) disable Active Storage's DiskService in production (migrate to cloud storage like S3 or GCS); (2) add strict server-side validation to reject any user input that reaches Active Storage blob operations; (3) implement a WAF rule to block requests with path traversal characters (../) in parameters; (4) plan an upgrade to Rails 7.2 LTS or 8.x as a priority. Commercial EOL support vendors like HeroDevs offer backported patches for unsupported Rails versions if an emergency upgrade is not feasible.

Rails 7.1 ne recevra pas de patches pour les CVE de mars 2026. Vos options immédiates sont : (1) désactiver DiskService d'Active Storage en production (migrer vers un stockage cloud comme S3 ou GCS) ; (2) ajouter une validation stricte côté serveur pour rejeter toute entrée utilisateur atteignant les opérations de blob Active Storage ; (3) implémenter une règle WAF pour bloquer les requêtes contenant des caractères de traversal (../) dans les paramètres ; (4) planifier une mise à niveau vers Rails 7.2 LTS ou 8.x en priorité. Des fournisseurs de support EOL commercial comme HeroDevs proposent des patches rétro-portés pour les versions Rails non supportées si une mise à niveau d'urgence n'est pas faisable.

Is CVE-2026-35611 (Addressable ReDoS) only a problem for Rails apps?

CVE-2026-35611 (Addressable ReDoS) est-elle uniquement un problème pour les applications Rails ?

No. Addressable is a generic Ruby URI library used across the entire Ruby ecosystem, not just Rails. Any Ruby application or gem that depends on addressable (directly or transitively) and processes user-controlled URI templates is affected. Check your full Gemfile.lock dependency tree, including transitive dependencies via gems like faraday, httparty, rest-client, google-api-client, and aws-sdk-*, all of which depend on addressable. Run bundle exec gem dependency addressable to see which of your gems pull it in.

Non. Addressable est une bibliothèque Ruby d'URI générique utilisée dans tout l'écosystème Ruby, pas seulement Rails. Toute application ou gem Ruby qui dépend d'addressable (directement ou transitivement) et traite des templates d'URI contrôlés par l'utilisateur est affectée. Vérifiez l'arbre complet de dépendances dans votre Gemfile.lock, y compris les dépendances transitives via des gems comme faraday, httparty, rest-client, google-api-client et aws-sdk-*, qui dépendent tous d'addressable. Exécutez bundle exec gem dependency addressable pour voir quels gems le tirent.

How do I get alerted automatically when new Rails or gem CVEs are published?

Comment être alerté automatiquement quand de nouvelles CVE Rails ou gem sont publiées ?

The most reliable methods are: (1) subscribe to the Rails security announcements RSS/mailing list at rubyonrails.org/security; (2) enable dependabot or Renovate for your GitHub repository; (3) add bundler-audit to your CI pipeline — it checks your Gemfile.lock against the Ruby Advisory Database on every build; (4) use a continuous monitoring service like CVE OptiBot that scans your lockfile daily and notifies you of new CVEs without requiring code access.

Les méthodes les plus fiables sont : (1) s'abonner au flux RSS/mailing list des annonces sécurité Rails sur rubyonrails.org/security ; (2) activer dependabot ou Renovate pour votre dépôt GitHub ; (3) ajouter bundler-audit à votre pipeline CI — il vérifie votre Gemfile.lock par rapport à la Ruby Advisory Database à chaque build ; (4) utiliser un service de monitoring continu comme CVE OptiBot qui scanne votre lockfile quotidiennement et vous notifie des nouvelles CVE sans accès au code.

Does the March 2026 Rails patch require a database migration?

Le patch Rails de mars 2026 nécessite-t-il une migration de base de données ?

No. The 9 CVEs patched on March 23, 2026 are all code-level fixes in Active Storage, Action Pack, Active Support, and Action View. None require schema changes or database migrations. You can apply the upgrade with a standard bundle update rails followed by a restart of your application server. Always test in a staging environment before deploying to production, as minor version bumps can sometimes affect edge-case behavior in areas like number formatting or template rendering.

Non. Les 9 CVE corrigées le 23 mars 2026 sont toutes des correctifs au niveau du code dans Active Storage, Action Pack, Active Support et Action View. Aucune ne nécessite de changements de schéma ou de migrations de base de données. Vous pouvez appliquer la mise à niveau avec un simple bundle update rails suivi d'un redémarrage de votre serveur applicatif. Testez toujours dans un environnement de staging avant de déployer en production, car les mises à jour de version mineures peuvent parfois affecter des comportements de cas limite dans des domaines comme le formatage des nombres ou le rendu des templates.

What is the Ruby on Rails market share in 2026?

Quelle est la part de marché de Ruby on Rails en 2026 ?

According to 6sense and W3Techs data from April 2026, Ruby on Rails ranks 6th in the web framework market with approximately 4.6% market share. Over 21,984 companies actively use Rails, with 56% of deployments in the United States. Notable companies running Rails include GitHub, Shopify, Basecamp, and Airbnb (legacy applications). Despite competition from JavaScript-first frameworks, Rails maintains strong adoption in B2B SaaS, e-commerce, and startup ecosystems — making robust dependency security monitoring a non-negotiable requirement.

Selon les données de 6sense et W3Techs d'avril 2026, Ruby on Rails se classe 6ème dans le marché des frameworks web avec environ 4,6% de part de marché. Plus de 21 984 entreprises utilisent activement Rails, avec 56% des déploiements aux États-Unis. Les entreprises notables utilisant Rails incluent GitHub, Shopify, Basecamp et Airbnb (applications héritées). Malgré la concurrence des frameworks JavaScript-first, Rails maintient une forte adoption dans le SaaS B2B, le e-commerce et les écosystèmes startups — ce qui fait d'un monitoring rigoureux de la sécurité des dépendances une exigence non négociable.

Monitor Your Gemfile.lock for CVEs Automatically

Surveillez Votre Gemfile.lock pour les CVE Automatiquement

CVE OptiBot scans your Gemfile.lock daily and alerts you the moment a new CVE is published against any of your dependencies — no code access required. Works across Ruby, npm, Python, and PHP projects simultaneously.

CVE OptiBot scanne votre Gemfile.lock quotidiennement et vous alerte dès qu'une nouvelle CVE est publiée contre l'une de vos dépendances — aucun accès au code requis. Fonctionne simultanément sur les projets Ruby, npm, Python et PHP.

Start free monitoring Démarrer le monitoring gratuit
CVE Monitoring Guide → Guide Monitoring CVE → CVSS Scoring Explained → Scoring CVSS Expliqué → SBOM Guide for Developers → Guide SBOM pour Développeurs → PHP Composer Security → Sécurité PHP Composer →