Ruby LSP にブランチ設定を介した任意のコード実行の脆弱性

Ruby LSP は、Ruby 用の Language Server Protocol の実装です。Shopify.ruby-lsp バージョン 0.10.2 および ruby-lsp バージョン 0.26.9 より前のバージョンでは、rubyLsp.branch VS Code ワークスペース設定が、サニタイズされずに生成された Gemfile に挿入されていました。これにより、悪意のある .vscode/settings.json を含むプロジェクトをユーザーが開くと、任意の Ruby コードが実行される可能性がありました。この問題は、Shopify.ruby-lsp バージョン 0.10.2 および ruby-lsp バージョン 0.26.9 で修正されました。