Ruby LSP — это реализация протокола языкового сервера для Ruby. До Shopify.ruby-lsp версии 0.10.2 и Ruby-lsp версии 0.26.9 параметр рабочей области RubyLsp.branch VS Code интерполировался без очистки в сгенерированный Gemfile, что позволяло выполнять произвольный код Ruby, когда пользователь открывает проект, содержащий вредоносный .vscode/settings.json. Эта проблема исправлена в Shopify.ruby-lsp версии 0.10.2 и Ruby-lsp версии 0.26.9.
Показать оригинальное описание (EN)
Ruby LSP is an implementation of the language server protocol for Ruby. Prior to Shopify.ruby-lsp version 0.10.2 and ruby-lsp version 0.26.9, the rubyLsp.branch VS Code workspace setting was interpolated without sanitization into a generated Gemfile, allowing arbitrary Ruby code execution when a user opens a project containing a malicious .vscode/settings.json. This issue has been patched in Shopify.ruby-lsp version 0.10.2 and ruby-lsp version 0.26.9.
Характеристики атаки
Последствия
Строка CVSS v4.0