【漏洞通告】RubyGems未授权访问漏洞安全风险通告
2022年5月10日,嘉诚安全监测到CNNVD官方发布了RubyGems未授权访问漏洞的安全风险通告,漏洞编号为:CNNVD-202205-2527(CVE-2022-29176)。
RubyGems是Rubygems组织的一款Ruby程序包管理器。该产品主要用于发布和管理Ruby程序包。
鉴于漏洞危害较大,嘉诚安全提醒相关用户尽快下载补丁进行更新,避免引发漏洞相关的网络安全事件。
该漏洞源于yank操作中的错误,任何RubyGems.org用户都可以删除和替换某些gem。
通用修复建议
厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/rubygems/rubygems.org/security/advisories/GHSA-hccv-rwq6-vh79