Bundler · Bundler · CVE-2020-36327
**Nome do software vulnerável e versões afetadas:
Versões do Bundler 1.16.0 a 2.2.9
Versões do Bundler 2.2.11 a 2.2.16
Descrição:
O problema às vezes seleciona uma fonte de dependência com base no número de versão mais alto da gem. Isso significa que uma gem maliciosa encontrada em uma fonte pública pode ser selecionada, mesmo que a escolha pretendida fosse uma gem privada que é uma dependência de outra gem privada explicitamente dependida pelo aplicativo.
Recomendações:
Para as versões do Bundler 1.16.0 a 2.2.9, considere atualizar para uma versão fora desse intervalo para mitigar o risco.
Para as versões do Bundler 2.2.11 a 2.2.16, considere atualizar para uma versão fora desse intervalo para mitigar o risco.
Como solução alternativa temporária, considere restringir o uso de fontes públicas de gems para minimizar o risco de exploração.