Plataforma
ruby
Componente
ruby-lsp
Corrigido em
0.26.10
0.10.3
CVE-2026-34060 é uma vulnerabilidade de execução remota de código (RCE) no Ruby LSP. A falha permite que um invasor execute código Ruby arbitrário ao abrir um projeto com um arquivo .vscode/settings.json malicioso. Esta vulnerabilidade afeta versões anteriores à 0.26.9. A versão 0.26.9 corrige esta falha.
A vulnerabilidade CVE-2026-34060 no ruby-lsp permite a execução arbitrária de código Ruby através da manipulação de um arquivo de configuração do VS Code. Um atacante pode criar um projeto malicioso contendo um arquivo .vscode/settings.json com conteúdo especialmente elaborado. Este arquivo, ao ser aberto no VS Code, instrui o ruby-lsp a inserir código Ruby não sanitizado no arquivo Gemfile gerado. A execução deste Gemfile comprometido resulta na execução do código malicioso injetado pelo atacante. O risco é significativo, pois o atacante pode obter acesso ao ambiente do usuário, potencialmente roubando informações sensíveis armazenadas no projeto ou no sistema, como chaves de API, credenciais de acesso a bancos de dados, ou até mesmo modificar arquivos do sistema. O raio de impacto (blast radius) é limitado ao contexto do projeto afetado e ao usuário que abre o projeto malicioso no VS Code. A gravidade da vulnerabilidade é alta (CVSS 7.5) devido à possibilidade de execução remota de código e ao potencial de acesso não autorizado a dados e recursos. É crucial entender que esta vulnerabilidade não requer interação complexa do usuário além da abertura do projeto malicioso no VS Code.
Atualmente, não existem relatos públicos de exploração ativa (KEV) da vulnerabilidade CVE-2026-34060. No entanto, a possibilidade de execução remota de código (RCE) torna a vulnerabilidade atraente para atacantes. A ausência de um Proof of Concept (POC) público não diminui a importância de aplicar a correção, pois a criação de um exploit é relativamente simples dado o contexto da vulnerabilidade. A falta de exploração pública não garante a segurança, e a aplicação da correção é a melhor forma de proteger contra possíveis ataques futuros. A urgência de aplicação da correção é considerada alta, dada a facilidade de exploração e o potencial impacto.
Status do Exploit
EPSS
0.08% (percentil 23%)
Para corrigir a vulnerabilidade CVE-2026-34060, é imperativo atualizar o ruby-lsp para a versão 0.26.9 ou superior, ou o Shopify.ruby-lsp para a versão 0.10.2 ou superior. A atualização pode ser realizada através do gerenciador de pacotes Ruby (gem) utilizando o comando gem update ruby-lsp ou gem update shopify-ruby-lsp. Se a atualização imediata não for possível, uma medida paliativa (workaround) é remover ou modificar a configuração rubyLsp.branch no arquivo .vscode/settings.json do projeto, impedindo a interpolação não sanitizada. Após a atualização, verifique se o ruby-lsp está funcionando corretamente abrindo um projeto Ruby no VS Code e verificando se não há erros ou comportamentos inesperados relacionados à geração do Gemfile. É altamente recomendável aplicar a atualização o mais rápido possível para mitigar o risco de exploração.
Actualice la gema ruby-lsp a la versión 0.26.9 o superior. Esto corrige la vulnerabilidad de ejecución de código arbitrario. Ejecute `gem update ruby-lsp` para actualizar.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-34060 is a vulnerability in the ruby-lsp extension for Visual Studio Code that allows arbitrary Ruby code execution through a malicious .vscode/settings.json file.
Users of the shopify.ruby-lsp version prior to 0.10.2 and ruby-lsp version prior to 0.26.9 are potentially affected by this vulnerability.
Upgrade the shopify.ruby-lsp extension to version 0.10.2 or the ruby-lsp extension to version 0.26.9 to resolve this issue.
Currently, there are no public exploitation reports or proof-of-concept code available for CVE-2026-34060, but the potential for exploitation exists.
Refer to the National Vulnerability Database (NVD) entry for CVE-2026-34060 for more detailed information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo Gemfile.lock e descubra na hora se você está afetado.