Para aqueles impossibilitados de atualizar, patches estão disponíveis com as notificações de erros diversos. Essas falhas afetam todas as versões do Rails, mas alinhado com o Rails e sua política de manutenção, estão apenas três ramos, 3.2, 3.1 e 2.3 estão sendo atualizados.

Foi encontrado que ao executar o Rails no JRuby, um dos backends para análise XML, ActiveSupport::XmlMini_JDOM, javax.xml.parsers.DocumentBuilder, por padrão algumas JVMs permitiam atacantes construir XML com URLs arbitrárias. Além da atualização de segurança, o Rails 3.2.13 contém também outras mudanças, como parte de uma liberação geral de correção de erros.

Finalmente, ao executar Rails no JRuby, verificou-se que um dos backends para análise XML, ActiveSupport::XmlMini_JDOM, usado javax.xml.parsers.DocumentBuilder , que por padrão em algumas JVMs deixar atacantes construir XML com URLs arbitrários, e quando analisado, o sistema inclui o conteúdo desses URLs. A falha, identificada como CVE-2013-1856 , fez com que os arquivos do servidor de aplicativos podem ser extraídas ou que ataques de negação de serviço pode ser encenado.

Fonte: http://www.h-online.com/open/news/item/Rails-updates-to-3-2-13-to-close-denial-of-service-and-XSS-holes-1825605.html