Plateforme
ruby
Composant
ruby-lsp
Corrigé dans
0.26.10
0.10.3
CVE-2026-34060 est une vulnérabilité d'exécution de code arbitraire affectant Ruby LSP. Elle permet à un attaquant d'exécuter du code Ruby non autorisé en manipulant le fichier .vscode/settings.json. Les versions affectées sont antérieures à 0.26.9. La version 0.26.9 corrige cette vulnérabilité.
La vulnérabilité CVE-2026-34060 dans ruby-lsp permet l'exécution de code Ruby arbitraire via une manipulation malveillante du fichier .vscode/settings.json d'un projet. Un attaquant pourrait insérer un code malicieux dans ce fichier, qui serait ensuite interpolé et inclus dans le fichier Gemfile généré par ruby-lsp. L'exécution de ce Gemfile, lors de l'ouverture du projet dans VS Code, entraînerait l'exécution du code malveillant. Les données potentiellement compromises incluent les informations stockées dans le projet Ruby, les informations d'identification stockées dans les variables d'environnement accessibles par le processus Ruby, et potentiellement l'accès à d'autres ressources du système si le code malveillant est conçu pour le faire. Le rayon d'impact est limité aux utilisateurs de VS Code ouvrant un projet contenant un fichier .vscode/settings.json malveillant. Un attaquant pourrait, par exemple, compromettre un dépôt Git public contenant un projet ruby-lsp vulnérable, et infecter les utilisateurs qui clonen ce dépôt sans vérifier l'intégrité du fichier .vscode/settings.json. L'exécution du code malveillant pourrait permettre à l'attaquant de voler des informations sensibles, d'installer des logiciels malveillants, ou de prendre le contrôle du système sur lequel VS Code est exécuté.
À ce jour, il n'y a pas de rapports publics d'exploitation active de CVE-2026-34060. Bien qu'aucun proof-of-concept (POC) public n'ait été divulgué, la nature de la vulnérabilité (exécution de code arbitraire) et la facilité potentielle de création d'un fichier .vscode/settings.json malveillant suggèrent qu'elle pourrait être exploitée à l'avenir. La vulnérabilité est considérée comme de haute gravité (CVSS score de 7.5) et il est donc important de l'atténuer rapidement. L'absence de rapports d'exploitation ne signifie pas qu'elle n'est pas dangereuse, mais plutôt qu'elle n'a pas encore été exploitée publiquement. La surveillance continue des forums de sécurité et des bases de données de vulnérabilités est recommandée.
Statut de l'Exploit
EPSS
0.08% (percentile 23%)
La correction de CVE-2026-34060 nécessite une mise à jour vers la version 0.26.9 de ruby-lsp ou la version 0.10.2 de Shopify.ruby-lsp. Il est fortement recommandé d'appliquer cette mise à jour dès que possible. Si la mise à jour n'est pas immédiatement possible, une solution de contournement temporaire consiste à supprimer ou à renommer le fichier .vscode/settings.json avant d'ouvrir le projet dans VS Code. Cependant, cette solution empêchera l'utilisation de certaines fonctionnalités de VS Code spécifiques à ce projet. Après la mise à jour, vérifiez que le fichier .vscode/settings.json (si vous l'utilisez) ne contient pas de code malveillant. Il est également conseillé de vérifier l'intégrité des fichiers de configuration de vos projets, en particulier si vous utilisez des systèmes de contrôle de version comme Git, pour détecter toute modification non autorisée. Une analyse régulière des dépendances de votre projet peut également aider à identifier les vulnérabilités potentielles.
Mettez à jour la gem ruby-lsp vers la version 0.26.9 ou supérieure. Cela corrige la vulnérabilité d'exécution de code arbitraire. Exécutez `gem update ruby-lsp` pour mettre à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-34060 is a vulnerability in the ruby-lsp extension for Visual Studio Code that allows arbitrary Ruby code execution through a malicious .vscode/settings.json file.
Users of the shopify.ruby-lsp version prior to 0.10.2 and ruby-lsp version prior to 0.26.9 are potentially affected by this vulnerability.
Upgrade the shopify.ruby-lsp extension to version 0.10.2 or the ruby-lsp extension to version 0.26.9 to resolve this issue.
Currently, there are no public exploitation reports or proof-of-concept code available for CVE-2026-34060, but the potential for exploitation exists.
Refer to the National Vulnerability Database (NVD) entry for CVE-2026-34060 for more detailed information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier Gemfile.lock et nous te dirons instantanément si tu es affecté.