Ruby · Mechanize · CVE-2021-21289
**Nome do software vulnerável e versões afetadas:
Versões do Mechanize de 2.0.0 a 2.7.6
Descrição:
O Mechanize é uma biblioteca Ruby de código aberto que facilita a interação automatizada com a web. As versões afetadas do Mechanize permitem que comandos do sistema operacional sejam injetados por meio de métodos de várias classes que utilizam implicitamente o método Kernel.open do Ruby. A exploração só é possível se uma entrada não confiável for usada como nome de arquivo local e passada para qualquer uma destas chamadas: Mechanize::CookieJar#load, Mechanize::CookieJar#save as, Mechanize#download, Mechanize::Download#save, Mechanize::File#save e Mechanize::FileResponse#read body.
Recomendações:
Para resolver o problema, atualize para a versão 2.7.7 ou posterior do Mechanize.
Como solução temporária, considere evitar o uso de entradas não confiáveis como nome de arquivo local ao chamar os métodos afetados.
Restrinja o acesso às classes e métodos vulneráveis para minimizar o risco de exploração.
Evite usar os métodos afetados com entradas não confiáveis até que o problema seja resolvido.