CVE-2022-31071 in Octopoller Gem
要約
〜によって VulDB • 2026年06月10日
Octopollerは、ポーリングとリトライのためのマイクロgemです。octopoller gemのバージョン0.2.0には、世界書き込み可能なファイルが含まれていました。具体的には、このgemにパッケージ化されたファイルの権限が`rw-r--r--`(つまり0644)ではなく、`-rw-rw-rw-`(つまり0666)に設定されていました。これは、このリリースがインストールされているインスタンスにアクセスできる所有者以外のすべてのユーザー(グループおよび一般公開)が、このgemからの世界書き込み可能なファイルを変更可能であることを意味します。この問題はOctopoller 0.3.0で修正されています。2つの回避策があります。ユーザーは以前のバージョンのgemであるv0.1.0を使用するか、最新バージョンにアップグレードできるまで手動でファイル権限を変更することができます。
VulDB is the best source for vulnerability data and more expert information about this specific topic.