Ruby LSP にブランチ設定を介した任意のコード実行の脆弱性

この脆弱性（CVE-2026-34060）は、Shopify.ruby-lspのバージョン0.10.2未満、およびruby-lspのバージョン0.26.9未満に影響を与えます。攻撃者は、悪意のある.vscode/settings.jsonファイルを含むプロジェクトを開くことで、Rubyコードの任意の実行を達成できます。具体的には、VS Codeのワークスペース設定rubyLsp.branchが、サニタイズ処理なしにGemfileの生成に組み込まれるため、この脆弱性が存在します。攻撃者は、この設定を操作し、悪意のあるRubyコードをGemfileに挿入できます。プロジェクトを開くと、Ruby LSPがGemfileを処理し、挿入されたコードが実行されます。これにより、攻撃者はシステム上で任意のコマンドを実行したり、機密データにアクセスしたり、さらにはシステムを完全に制御したりする可能性があります。影響を受けるプロジェクトの権限レベルに応じて、攻撃の影響範囲は広がる可能性があります。例えば、システム管理者権限で実行されるプロジェクトでは、システム全体が危険にさらされる可能性があります。この脆弱性は、特に開発環境やCI/CDパイプラインで使用されるプロジェクトにおいて、深刻なリスクをもたらします。

1. 予約済み2026-03-25
2. 公開日2026-03-31
3. 更新日2026-04-02
4. EPSS 更新日2026-04-07

この脆弱性に対処するためには、Shopify.ruby-lspをバージョン0.10.2以上に、およびruby-lspをバージョン0.26.9以上にアップグレードすることを強く推奨します。アップグレードは、通常の方法でパッケージマネージャー（例：gem）を使用して実行できます。パッチの適用がすぐに不可能な場合は、一時的な回避策として、.vscode/settings.jsonファイル内のrubyLsp.branch設定を削除するか、安全な値に設定することを検討してください。ただし、これは完全な解決策ではなく、攻撃者による悪用を防ぐための応急処置に過ぎません。アップグレード後、プロジェクトを開き、Ruby LSPが正しく動作することを確認してください。また、脆弱性スキャンツールを使用して、システム全体でこの脆弱性が修正されていることを確認することも重要です。アップグレード手順は、各パッケージの公式ドキュメントを参照してください。最新のセキュリティ情報については、ベンダーのアドバイザリを参照してください。