Segiddins

#8763de 53,625

31.2CVSS total

Vulnerabilidades · 4

Média

1

Alta

2

Crítica

1

Unknown · Rubygems.Org · CVE-2023-40165

**Name of the Vulnerable Software and Affected Versions** rubygems.org (affected versions not specified) **Description** The issue is related to insufficient input validation in rubygems.org, the Ruby community's primary gem hosting service. This allowed malicious actors to replace any uploaded gem version that had a platform, version number, or gem name matching `/-d/`, permanently replacing the legitimate upload in the canonical gem storage bucket and triggering an immediate CDN purge. The maintainers have checked all gems matching the `/-d/` pattern and can confirm that no unexpected `.gem`s were found, leading to the belief that this issue was not exploited. Users can verify the integrity of their downloaded gems by checking that the checksums match the ones recorded in the RubyGems.org database. **Recommendations** No action is required on the part of the user, as the issue has been patched with improved input validation and the changes are live. However, users are advised to validate their local gems. To assist in the investigation, users can run `bundle add bundler-integrity` followed by `bundle exec bundler-integrity` to compare RubyGems API-provided checksums with the checksums of files on their disk.

Unknown · Rubygems.Org · CVE-2022-36073

**Nome do software vulnerável e versões afetadas** RubyGems.org (versões afetadas não especificadas) **Descrição** Um bug no código de confirmação de alteração de senha e e-mail permitia que um invasor alterasse o e-mail de sua conta no RubyGems.org para um endereço de e-mail que não lhe pertencesse. Isso poderia permitir que o invasor salvasse chaves de API dessa conta. Quando um usuário legítimo tenta criar uma conta com seu e-mail e precisa redefinir a senha para obter acesso, o invasor poderia então publicar e remover versões dessas gems. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Unknown · Rubygems.Org · CVE-2022-29176

**Nome do software vulnerável e versões afetadas** RubyGems.org (versões afetadas não especificadas) **Descrição** O problema está relacionado a um bug na ação “yank” do RubyGems.org, permitindo que qualquer usuário remova e substitua certas gems sem autorização. Uma gem está vulnerável se tiver um ou mais traços em seu nome e tiver sido criada nos últimos 30 dias, ou se não tiver sido atualizada há mais de 100 dias. Não há evidências de que este problema tenha sido explorado. O RubyGems.org envia e-mails aos proprietários de gems quando uma versão é publicada ou removida, e não foram recebidos e-mails de suporte indicando remoções não autorizadas. Uma auditoria das alterações nas gems não encontrou nenhum exemplo de uso malicioso. Usar o Bundler no modo --frozen ou --deployment pode garantir que um aplicativo não mude silenciosamente para versões criadas usando essa vulnerabilidade. **Recomendações** Para auditar o histórico do seu aplicativo em busca de possíveis explorações passadas, revise seu Gemfile.lock e procure por gems cuja plataforma mudou sem que o número da versão tenha mudado. Usar o Bundler no modo --frozen ou --deployment na CI e durante as implantações garantirá que seu aplicativo não mude silenciosamente para versões criadas usando essa exploração. Como solução temporária, considere monitorar de perto as atualizações de suas gems até que o problema seja totalmente resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade, mas o RubyGems.org foi corrigido e não está mais vulnerável a esse problema a partir da 5ª

Ruby · Rubygems · CVE-2018-1000079

**Name of the Vulnerable Software and Affected Versions** RubyGems versions 2.2.9 and earlier RubyGems versions 2.3.6 and earlier RubyGems versions 2.4.3 and earlier RubyGems versions 2.5.0 and earlier RubyGems prior to trunk revision 62422 **Description** The issue is related to a Directory Traversal vulnerability in gem installation, allowing a gem to write to arbitrary filesystem locations during installation. This can be exploited by installing a malicious gem. The vulnerability appears to be related to errors in restricting the path name to a directory with limited access. **Recommendations** For RubyGems versions 2.2.9 and earlier, update to a version newer than 2.7.6. For RubyGems versions 2.3.6 and earlier, update to a version newer than 2.7.6. For RubyGems versions 2.4.3 and earlier, update to a version newer than 2.7.6. For RubyGems versions 2.5.0 and earlier, update to a version newer than 2.7.6. For RubyGems prior to trunk revision 62422, update to a version newer than 2.7.6. As a temporary workaround, consider avoiding the installation of gems from untrusted sources until the issue is resolved.