Vulnerabilidad en Active Storage (CVE-2025-24293)

# Métodos de transformación permitidos de Active Storage potencialmente inseguros<br /> <br /> Active Storage intenta prevenir el uso de métodos y parámetros de transformación de imagen potencialmente inseguros por defecto.<br /> <br /> La lista de permitidos por defecto contiene tres métodos que permiten la elusión de los valores seguros por defecto, lo que habilita potenciales vulnerabilidades de inyección de comandos en casos donde la entrada arbitraria suministrada por el usuario es aceptada como métodos o parámetros de transformación válidos.<br /> <br /> Impacto<br /> ------<br /> Esta vulnerabilidad impacta a las aplicaciones que usan Active Storage con la gema de procesamiento image_processing además de mini_magick como procesador de imágenes.<br /> <br /> El código vulnerable se verá similar a esto:<br /> ```<br /> &amp;lt;%= image_tag blob.variant(params[:t] =&amp;gt; params[:v]) %&amp;gt;<br /> ```<br /> <br /> Donde el método de transformación o sus argumentos son entrada arbitraria no confiable.<br /> <br /> Todos los usuarios que ejecutan una versión afectada deberían actualizar o usar una de las soluciones alternativas inmediatamente.<br /> <br /> Soluciones alternativas<br /> -----------<br /> El consumo de la entrada suministrada por el usuario para métodos de transformación de imagen o sus parámetros es un comportamiento no soportado y debería considerarse peligroso.<br /> <br /> Se debería realizar una validación estricta de los métodos y parámetros suministrados por el usuario, así como tener una [política de seguridad de ImageMagick](https://imagemagick.org/script/security-policy.php) robusta desplegada.<br /> <br /> Créditos<br /> -------<br /> <br /> ¡Gracias a [lio346](https://hackerone.com/lio346) por reportar esto!