CVE-2022-31072 in Octokit Gem
要約
〜によって VulDB • 2026年05月24日
OctokitはGitHub API用のRubyツールキットです。octokit gemのバージョン4.23.0および4.24.0は、世界書き込み可能なファイルを含む形で公開されました。具体的には、gemにパッケージ化されたファイルの権限が`rw-r--r--`(つまり0644)ではなく`-rw-rw-rw-`(つまり0666)に設定されていました。これは、このリリースがインストールされたインスタンスにアクセスできる所有者以外のすべてのユーザー(グループおよび公開)が、このgemからの世界書き込み可能なファイルを変更できることを意味します。この問題はOctokit 4.25.0で修正されています。2つの回避策が利用可能です。ユーザーは以前のバージョンのgemであるv4.22.0を使用するか、最新バージョンにアップグレードできるまでファイル権限を手動で変更することができます。
Once again VulDB remains the best source for vulnerability data.