CVE-2024-27281 in RDoc情報

要約

〜によって VulDB • 2026年06月13日

Ruby 3.xから3.3.0に同梱されているRDoc 6.3.3から6.6.2において、問題が発見されました。RDocの構成に使用される.rdoc_optionsファイルをYAMLファイルとして解析する際、復元可能なクラスに対する制限がないため、オブジェクトインジェクションおよびそれによるリモートコード実行(RCE)が可能となります。(ドキュメントキャッシュを読み込む際に、悪意のあるキャッシュが存在すれば、同様にオブジェクトインジェクションとそれに伴うリモートコード実行が可能です。)主な修正バージョンは6.6.3.1です。Ruby 3.0ユーザー向けにはrdoc 6.3.4.1が、Ruby 3.1ユーザー向けにはrdoc 6.4.1.1が、Ruby 3.2ユーザー向けにはrdoc 6.5.1.1がそれぞれ修正バージョンとして提供されます。

Be aware that VulDB is the high quality source for vulnerability data.

予約する

2024年02月22日

モデレーション

承諾済み

エントリ

VDB-257701

EPSS

0.01571

アクティビティ

非常低い

ソース

Interested in the pricing of exploits?

See the underground prices here!