CVE-2024-27281: RCE vulnerability with .rdoc_options in RDoc（Ruby）

我们已发布 RDoc gem 6.3.4.1、6.4.1.1、6.5.1.1 和 6.6.3.1 版，其中包含对 RCE 漏洞的安全修复。此漏洞的 CVE 标识符为 CVE-2024-27281。

详细信息
在 RDoc 6.3.3 至 6.6.2 中发现了一个问题，该问题发布在 Ruby 3.x 至 3.3.0 中。

将 .rdoc_options（在 RDoc 中用于配置）解析为 YAML 文件时，可能会发生对象注入并导致远程代码执行，因为对可恢复的类没有限制。

加载文档缓存时，如果存在伪造的缓存，也可能发生对象注入并导致远程代码执行。

建议采取的措施
我们建议将 RDoc gem 更新到 6.6.3.1 或更高版本。为了确保与旧版 Ruby 系列中的捆绑版本兼容，您可以按以下方式更新：

对于 Ruby 3.0 用户：更新至 rdoc 6.3.4.1
Ruby 3.1 用户更新至 rdoc 6.4.1.1
Ruby 3.2 用户：更新至 rdoc 6.5.1.1更新至 rdoc 6.5.1.1
您可以使用 gem update rdoc 进行更新。如果使用捆绑程序，请在 Gemfile 中添加 gem “rdoc”, “>= 6.6.3.1″。

注意：6.3.4、6.4.1、6.5.1 和 6.6.3 有一个错误修复。我们建议升级 6.3.4.1、6.4.1.1、6.5.1.1 和 6.6.3.1，而不是它们。

受影响的版本
Ruby 3.0.6 或更低版本
Ruby 3.1.4 或更低版本
Ruby 3.2.3 或更低版本
Ruby 3.3.0
RDoc gem 6.3.3 或更低版本、6.4.0 至 6.6.2（不含补丁版本（6.3.4、6.4.1、6.5.1））。
鸣谢
感谢 ooooooo_q 发现此问题。

历史
最初发布于 2024-03-21 4:00:00 (UTC)

转自 CVE-2024-27281: RCE vulnerability with .rdoc_options in RDoc (ruby-lang.org)