CVE-2021-21289

**Nome do software vulnerável e versões afetadas:

Versões do Mechanize de 2.0.0 a 2.7.6

Descrição:

O Mechanize é uma biblioteca Ruby de código aberto que facilita a interação automatizada com a web. As versões afetadas do Mechanize permitem que comandos do sistema operacional sejam injetados por meio de métodos de várias classes que utilizam implicitamente o método Kernel.open do Ruby. A exploração só é possível se uma entrada não confiável for usada como nome de arquivo local e passada para qualquer uma destas chamadas: Mechanize::CookieJar#load, Mechanize::CookieJar#save as, Mechanize#download, Mechanize::Download#save, Mechanize::File#save e Mechanize::FileResponse#read body.

Recomendações:

Para resolver o problema, atualize para a versão 2.7.7 ou posterior do Mechanize.

Como solução temporária, considere evitar o uso de entradas não confiáveis como nome de arquivo local ao chamar os métodos afetados.

Restrinja o acesso às classes e métodos vulneráveis para minimizar o risco de exploração.

Evite usar os métodos afetados com entradas não confiáveis até que o problema seja resolvido.