CVE-2022-29176

RubyGems.org (versões afetadas não especificadas)

O problema está relacionado a um bug na ação “yank” do RubyGems.org, permitindo que qualquer usuário remova e substitua certas gems sem autorização. Uma gem está vulnerável se tiver um ou mais traços em seu nome e tiver sido criada nos últimos 30 dias, ou se não tiver sido atualizada há mais de 100 dias. Não há evidências de que este problema tenha sido explorado. O RubyGems.org envia e-mails aos proprietários de gems quando uma versão é publicada ou removida, e não foram recebidos e-mails de suporte indicando remoções não autorizadas. Uma auditoria das alterações nas gems não encontrou nenhum exemplo de uso malicioso. Usar o Bundler no modo --frozen ou --deployment pode garantir que um aplicativo não mude silenciosamente para versões criadas usando essa vulnerabilidade.

Para auditar o histórico do seu aplicativo em busca de possíveis explorações passadas, revise seu Gemfile.lock e procure por gems cuja plataforma mudou sem que o número da versão tenha mudado.

Usar o Bundler no modo --frozen ou --deployment na CI e durante as implantações garantirá que seu aplicativo não mude silenciosamente para versões criadas usando essa exploração.

Como solução temporária, considere monitorar de perto as atualizações de suas gems até que o problema seja totalmente resolvido.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade, mas o RubyGems.org foi corrigido e não está mais vulnerável a esse problema a partir da 5ª