PT-2021-4696 · Ruby+8 · Rdoc+8
Publicado
2021-05-02
·
Atualizado
2025-12-12
·
CVE-2021-31799
CVSS v3.1
7.0
Alta
| Vetor | AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do RDoc de 3.11 a 6.x anteriores à 6.3.1
Descrição
O problema está relacionado ao gerador de documentação RDoc para a linguagem de programação Ruby, que não realiza a sanitização adequada dos dados. Isso pode ser explorado para executar código arbitrário por meio de | e tags em um nome de arquivo. A vulnerabilidade permite que um invasor execute comandos arbitrários.
Recomendações
Para as versões do RDoc 3.11 a 6.x anteriores à 6.3.1, atualize para a versão 6.3.1 ou posterior para resolver o problema.
Como solução temporária, considere restringir o uso do gerador RDoc até que um patch esteja disponível.
Evite usar | e tags em nomes de arquivos para o RDoc até que o problema seja resolvido.
Exploit
Correção
Special Elements Injection
Command Injection
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Almalinux
Astra Linux
Centos
Linuxmint
Rdoc
Red Hat
Rocky Linux
Suse
Ubuntu