E' stato scoperto che le versioni 2.3.9 e 3.0 di Rails contengono una vulnerabilità  nella gestione dei nested attributes che consente, tramite manipolazione dei parametri, di modificare record arbitrari sul sistema.

Versioni precedenti da quelle sopra menzionate non sono affette dal problema.

Sono state immediatamente rilasciate le versioni 2.3.10 e 3.0.1 per correggere la falla.