PT-2021-12010 · Bundler+6 · Bundler+6

Deivid-Rodriguez

+1

·

Publicado

2021-04-29

·

Atualizado

2026-04-15

·

CVE-2020-36327

CVSS v2.0

9.3

Alta

VetorAV:N/AC:M/Au:N/C:C/I:C/A:C
**Nome do software vulnerável e versões afetadas:
Versões do Bundler 1.16.0 a 2.2.9
Versões do Bundler 2.2.11 a 2.2.16
Descrição:
O problema às vezes seleciona uma fonte de dependência com base no número de versão mais alto da gem. Isso significa que uma gem maliciosa encontrada em uma fonte pública pode ser selecionada, mesmo que a escolha pretendida fosse uma gem privada que é uma dependência de outra gem privada explicitamente dependida pelo aplicativo.
Recomendações:
Para as versões do Bundler 1.16.0 a 2.2.9, considere atualizar para uma versão fora desse intervalo para mitigar o risco.
Para as versões do Bundler 2.2.11 a 2.2.16, considere atualizar para uma versão fora desse intervalo para mitigar o risco.
Como solução alternativa temporária, considere restringir o uso de fontes públicas de gems para minimizar o risco de exploração.

Exploit

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Identificadores relacionados

ALSA-2021:3020
ALSA-2021_3020
ALSA-2022:0543
ALSA-2022:0545
ALSA-2022_0543
ALSA-2022_0545
ALSA-2025_16880
CESA-2021_3020
CESA-2022_0543
CESA-2022_0545
CVE-2020-36327
ELSA-2021-3020
ELSA-2022-0543
ELSA-2022-0545
GHSA-FP4W-JXHP-M23P
MGASA-2021-0579
OESA-2021-1258
OPENSUSE-SU-2025_1294-1
RHSA-2021:3020
RHSA-2021:3559
RHSA-2021:3982
RHSA-2021_3020
RHSA-2022:0543
RHSA-2022:0544
RHSA-2022:0545
RHSA-2022:0546
RHSA-2022:0547
RHSA-2022:0548
RHSA-2022:0581
RHSA-2022:0582
RHSA-2022:0708
RHSA-2022_0543
RHSA-2022_0545
RLSA-2021:3020
RLSA-2021_3020
RLSA-2022:0543
RLSA-2022:0545
RLSA-2022_0543
RLSA-2022_0545
SUSE-SU-2025:1294-1
SUSE-SU-2025_1294-1
SUSE-SU-2026:1355-1

Produtos afetados

Almalinux
Bundler
Centos
Debian
Red Hat
Rocky Linux
Suse