CVE-2024-27281 in RDoc
Resumen
por MITRE • 2024-05-14
Se descubrió un problema en RDoc 6.3.3 a 6.6.2, tal como se distribuye en Ruby 3.x a 3.3.0. Al analizar .rdoc_options (utilizado para la configuración en RDoc) como un archivo YAML, la inyección de objetos y la ejecución remota de código resultante son posibles porque no hay restricciones en las clases que se pueden restaurar. (Al cargar el caché de documentación, la inyección de objetos y la ejecución remota de código resultante también son posibles si hubiera un caché manipulado). La versión principal fija es 6.6.3.1. Para los usuarios de Ruby 3.0, una versión fija es rdoc 6.3.4.1. Para los usuarios de Ruby 3.1, una versión fija es rdoc 6.4.1.1. Para los usuarios de Ruby 3.2, una versión fija es rdoc 6.5.1.1.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.