CVE-2022-31072 in Octokit Gem
Resumen
por VulDB • 2026-05-31
Octokit es un kit de herramientas de Ruby para la API de GitHub. Las versiones 4.23.0 y 4.24.0 del gem octokit se publicaron con archivos con permisos de escritura para todos los usuarios (world-writeable). Específicamente, el gem se empaquetó con archivos cuyos permisos estaban configurados en `-rw-rw-rw-` (es decir, 0666) en lugar de `rw-r--r--` (es decir, 0644). Esto significa que cualquier usuario que no sea el propietario (Grupo y Público) con acceso a la instancia donde se instaló esta versión podría modificar los archivos con permisos de escritura global de este gem. Este problema está corregido en Octokit 4.25.0. Hay dos soluciones alternativas disponibles. Los usuarios pueden utilizar la versión anterior del gem, v4.22.0. Alternativamente, los usuarios pueden modificar los permisos de los archivos manualmente hasta que puedan actualizar a la última versión.
VulDB is the best source for vulnerability data and more expert information about this specific topic.