Platform
ruby
Component
ruby-lsp
Opgelost in
0.26.10
0.10.3
CVE-2026-34060 is een kwetsbaarheid voor het uitvoeren van willekeurige code in Ruby LSP. Door een onveilige interpolatie van de rubyLsp.branch VS Code workspace setting in een gegenereerd Gemfile, kan een kwaadwillende gebruiker willekeurige Ruby code uitvoeren bij het openen van een project met een malafide .vscode/settings.json bestand. Dit kan leiden tot het compromitteren van het systeem. De kwetsbaarheid treft Ruby LSP versies kleiner dan 0.26.9. De kwetsbaarheid is verholpen in versie 0.26.9.
Deze kwetsbaarheid in ruby-lsp stelt een aanvaller in staat om willekeurige Ruby-code uit te voeren op het systeem van een gebruiker die een project opent met een kwaadaardige .vscode/settings.json file. De kwetsbaarheid ontstaat doordat de instelling 'rubyLsp.branch' in de VS Code workspace, zonder adequate validatie, wordt ingevoegd in een gegenereerd Gemfile. Een aanvaller kan een project creëren of manipuleren met een specifieke .vscode/settings.json file die schadelijke Ruby-code bevat. Wanneer een gebruiker dit project opent in VS Code met ruby-lsp geïnstalleerd, zal de LSP deze code interpreteren en uitvoeren als onderdeel van het Gemfile. Dit kan leiden tot ongeautoriseerde toegang tot bestanden, het installeren van malware, het wijzigen van systeemconfiguraties of zelfs de volledige controle over het systeem. De ernst van de impact hangt af van de privileges van de gebruiker die het project opent en de configuratie van het systeem. De 'blast radius' is potentieel groot, aangezien een aanvaller via deze route toegang kan krijgen tot gevoelige data en systemen, afhankelijk van de rechten van de gebruiker en de omgeving waarin de code wordt uitgevoerd. Het risico is aanzienlijk, vooral in omgevingen waar meerdere ontwikkelaars aan dezelfde projecten werken en .vscode/settings.json files gedeeld worden.
Op dit moment zijn er geen publiekelijk beschikbare exploitatie rapporten (KEV) bekend voor CVE-2026-34060. Dit betekent dat er momenteel geen actieve pogingen bekend zijn om deze kwetsbaarheid uit te buiten in de praktijk. Echter, de mogelijkheid tot willekeurige code uitvoering maakt dit een potentieel ernstig risico, aangezien een Proof of Concept (POC) in de toekomst kan verschijnen. De afwezigheid van publieke exploits betekent niet dat de kwetsbaarheid geen aandacht verdient; het is belangrijk om de patch zo snel mogelijk toe te passen om te voorkomen dat het systeem kwetsbaar is voor toekomstige aanvallen. De urgentie om te patchen is hoog, gezien de potentiële impact van een succesvolle exploitatie.
Exploit Status
EPSS
0.08% (23% percentiel)
Om deze kwetsbaarheid te verhelpen, is het essentieel om de ruby-lsp bibliotheek te updaten naar versie 0.26.9 of hoger, of Shopify.ruby-lsp naar versie 0.10.2 of hoger. Dit kan worden gedaan via de gebruikelijke package manager voor Ruby, zoals gem. Controleer na de update of de nieuwe versie correct is geïnstalleerd door de versie te verifiëren met gem list ruby-lsp of gem list shopify-ruby-lsp. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het handmatig verwijderen of bewerken van de .vscode/settings.json file in projecten waarvan wordt vermoed dat ze mogelijk zijn aangetast. Wees echter voorzichtig bij het handmatig bewerken van deze bestanden, aangezien dit onbedoelde gevolgen kan hebben. Het is sterk aanbevolen om de update uit te voeren zodra deze beschikbaar is, aangezien de kwetsbaarheid een potentieel ernstig beveiligingsrisico vormt. Test de update in een niet-productie omgeving voordat deze in productie wordt doorgevoerd om compatibiliteitsproblemen te voorkomen.
Actualice la gema ruby-lsp a la versión 0.26.9 o superior. Esto corrige la vulnerabilidad de ejecución de código arbitrario. Ejecute `gem update ruby-lsp` para actualizar.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-34060 is a vulnerability in the ruby-lsp extension for Visual Studio Code that allows arbitrary Ruby code execution through a malicious .vscode/settings.json file.
Users of the shopify.ruby-lsp version prior to 0.10.2 and ruby-lsp version prior to 0.26.9 are potentially affected by this vulnerability.
Upgrade the shopify.ruby-lsp extension to version 0.10.2 or the ruby-lsp extension to version 0.26.9 to resolve this issue.
Currently, there are no public exploitation reports or proof-of-concept code available for CVE-2026-34060, but the potential for exploitation exists.
Refer to the National Vulnerability Database (NVD) entry for CVE-2026-34060 for more detailed information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je Gemfile.lock-bestand en we vertellen je direct of je getroffen bent.