CVE-2026-34060 क्या है — Ruby LSP में?

CVE-2026-34060 ruby-lsp में एक सुरक्षा भेद्यता है जो हमलावरों को मनमाना Ruby कोड निष्पादित करने की अनुमति देती है जब एक दुर्भावनापूर्ण VS Code workspace सेटिंग फ़ाइल खोली जाती है।

क्या मैं Ruby LSP में CVE-2026-34060 से प्रभावित हूं?

यदि आप Shopify.ruby-lsp के संस्करण 0.10.2 से पहले या ruby-lsp के संस्करण 0.26.9 से पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।

क्या CVE-2026-34060 का सक्रिय रूप से शोषण किया जा रहा है?

वर्तमान में, CVE-2026-34060 के लिए कोई सार्वजनिक शोषण रिपोर्ट उपलब्ध नहीं है।

CVE-2026-34060 के लिए Ruby LSP का आधिकारिक सुरक्षा सलाह कहां मिलेगी?

आप राष्ट्रीय भेद्यता डेटाबेस (NVD) पर अधिक जानकारी प्राप्त कर सकते हैं: [https://nvd.nist.gov/vuln/detail/CVE-2026-34060](https://nvd.nist.gov/vuln/detail/CVE-2026-34060)

HIGHCVE-2026-34060CVSS 7.5

रूबी एलएसपी (Ruby LSP) में शाखा सेटिंग के माध्यम से मनमाना कोड निष्पादन

प्लेटफ़ॉर्म

ruby

घटक

ruby-lsp

में ठीक किया गया

प्रभाव और हमले की स्थितियाँ

CVE-2026-34060 एक गंभीर सुरक्षा भेद्यता है जो Shopify.ruby-lsp के संस्करण 0.10.2 से पहले और ruby-lsp के संस्करण 0.26.9 से पहले वाले उपयोगकर्ताओं को प्रभावित करती है। इस भेद्यता का फायदा उठाकर, एक हमलावर दुर्भावनापूर्ण .vscode/settings.json फ़ाइल को प्रोजेक्ट में सम्मिलित कर सकता है। जब कोई उपयोगकर्ता इस प्रोजेक्ट को खोलता है, तो rubyLsp.branch VS Code workspace सेटिंग बिना किसी सुरक्षा जांच के उत्पन्न Gemfile में डाली जाती है। यह Gemfile में मनमाना Ruby कोड निष्पादित करने की अनुमति देता है। इसका मतलब है कि हमलावर उपयोगकर्ता के सिस्टम पर कोड चला सकता है, संभावित रूप से संवेदनशील डेटा तक पहुंच प्राप्त कर सकता है, सिस्टम कॉन्फ़िगरेशन बदल सकता है, या अन्य दुर्भावनापूर्ण गतिविधियां कर सकता है। इस भेद्यता का 'ब्लास्ट रेडियस' व्यापक हो सकता है, क्योंकि यह किसी भी उपयोगकर्ता को प्रभावित कर सकता है जो प्रभावित संस्करणों का उपयोग कर रहा है और दुर्भावनापूर्ण प्रोजेक्ट फ़ाइल खोलता है। संभावित जोखिमों में गोपनीय जानकारी का खुलासा, सिस्टम समझौता और डेटा हानि शामिल हैं। इस भेद्यता का फायदा उठाने के लिए, हमलावर को उपयोगकर्ता को एक विशेष रूप से तैयार प्रोजेक्ट फ़ाइल खोलने के लिए प्रेरित करने की आवश्यकता होगी, जो फ़िशिंग या अन्य सामाजिक इंजीनियरिंग तकनीकों के माध्यम से किया जा सकता है।

शमन और वर्कअराउंड

CVE-2026-34060 को ठीक करने के लिए, Shopify.ruby-lsp को संस्करण 0.10.2 या उच्चतर में और ruby-lsp को संस्करण 0.26.9 या उच्चतर में अपग्रेड करना आवश्यक है। अपग्रेड करने के लिए, अपने पैकेज मैनेजर (जैसे gem) का उपयोग करके नवीनतम संस्करण स्थापित करें। यदि तत्काल अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, .vscode/settings.json फ़ाइल में rubyLsp.branch सेटिंग को हटाने या बदलने पर विचार करें। हालांकि, यह केवल एक अस्थायी उपाय है और सुरक्षा जोखिम को पूरी तरह से समाप्त नहीं करता है। अपग्रेड के बाद, यह सत्यापित करना महत्वपूर्ण है कि भेद्यता ठीक हो गई है। आप यह जांच कर सकते हैं कि आपके पास नवीनतम संस्करण स्थापित है या नहीं और यह सुनिश्चित करके कि कोई दुर्भावनापूर्ण कोड निष्पादित नहीं हो रहा है। अपग्रेड प्रक्रिया को सावधानीपूर्वक करें और सुनिश्चित करें कि आपके सिस्टम का बैकअप है ताकि किसी भी अप्रत्याशित समस्या की स्थिति में आप वापस लौट सकें। अपग्रेड के बाद, सिस्टम को पुनरारंभ करने की आवश्यकता हो सकती है ताकि परिवर्तन प्रभावी हो सकें।

रूबी एलएसपी (Ruby LSP) में शाखा सेटिंग के माध्यम से मनमाना कोड निष्पादन

प्रभाव और हमले की स्थितियाँ

शोषण संदर्भ

खतरा खुफिया

प्रभावित सॉफ्टवेयर

कमजोरी वर्गीकरण (CWE)

समयरेखा

शमन और वर्कअराउंड

कैसे ठीक करेंअनुवाद हो रहा है…

CVE सुरक्षा न्यूज़लेटर

अक्सर पूछे जाने वाले सवाल

CVE-2026-34060 क्या है — Ruby LSP में?

क्या मैं Ruby LSP में CVE-2026-34060 से प्रभावित हूं?

Ruby LSP में CVE-2026-34060 को कैसे ठीक करें?

क्या CVE-2026-34060 का सक्रिय रूप से शोषण किया जा रहा है?

CVE-2026-34060 के लिए Ruby LSP का आधिकारिक सुरक्षा सलाह कहां मिलेगी?

क्या आपका प्रोजेक्ट प्रभावित है?

इस CVE को अपने प्रोजेक्ट में पहचानें