CVE-2022-31072

Versões 4.23.0 a 4.24.0 do Octokit

O problema diz respeito à gem Octokit, um kit de ferramentas Ruby para a API do GitHub, cujas versões 4.23.0 e 4.24.0 foram publicadas com arquivos com permissão de gravação para todos. Os arquivos da gem tinham permissões definidas como -rw-rw-rw- (ou seja, 0666) em vez de rw-r--r-- (ou seja, 0644), permitindo que qualquer pessoa com acesso à instância onde a versão foi instalada pudesse modificar esses arquivos. Isso poderia potencialmente permitir que código malicioso já presente em uma máquina alterasse o comportamento da gem durante a execução.

Para as versões 4.23.0 e 4.24.0, considere modificar manualmente as permissões dos arquivos para rw-r--r-- (ou seja, 0644) até que você consiga atualizar para a versão mais recente.

Como alternativa, para as versões 4.23.0 e 4.24.0, use a versão anterior da gem, v4.22.0, como uma solução temporária.

Para uma correção permanente, atualize para o Octokit 4.25.0.