CVE-2021-31799: Vulnerabilidad de inyección de ordenes en RDoc
Publicado por aycabta el 2021-05-02
Traducción de vtamara
Hay una vulnerabilidad de Inyección de Ordenes en el RDoc que se distribuye con Ruby. Se recomienda a todos los usuarios de Ruby que actualicen RDoc a la versión más reciente que resuelve el problema.
Detalles
Se ha reportado la siguiente vulnerabilidad.
RDoc solía llamar Kernel#open para abrir un archivo local.
Si un proyecto Ruby tiene un archivo cuyo nombre comience con |
y termine con tags, la orden que siga al carácter de tubería
será ejecutada.
Un proyecto Ruby malicioso podría explotar esto para ejecutar
ordenes arbitrarías como el usuario que intente ejecutar la orden
rdoc.
Los usuarios de Ruby cuya versión de RDoc sea afectada por esta situación deben actualizar a la versión más reciente de RDoc.
Versiones afectadas
- Todas las versiones de RDoc desde la 3.11 hasta la 6.3.0
Cómo actualizar
Para corregir la vulnerabilidad ejecute la siguiente orden que actualizará RDoc a la última versión (6.3.1 o más reciente)
gem install rdoc
Si usa bundler, por favor añada gem "rdoc", ">= 6.3.1" a su Gemfile.
Creditos
Agradecemos a Alexandr Savca por reportar el problema.
Historia
- Publicado originalmente el 2021-05-02 09:00:00 UTC
Noticias recientes
Publicado Ruby 4.0.0 preview3
Nos complace anunciar la publicación de Ruby 4.0.0-preview3. Ruby 4.0 introduce Ruby::BOX y “ZJIT”, y agrega muchas mejoras.
Publicado por naruse el 2025-12-18
Publicación de Ruby 3.4.8
Ruby 3.4.8 ha sido publicado.
Publicado por k0kubun el 2025-12-17
Publicación de Ruby 4.0.0 preview2
Nos complace anunciar el lanzamiento de Ruby 4.0.0-preview2. Ruby 4.0 actualiza su versión de Unicode a 17.0.0, entre otras novedades.
Publicado por naruse el 2025-11-17
Publicación de Ruby 3.3.10
Ruby 3.3.10 ha sido publicado.
Publicado por nagachika el 2025-10-23