CVE-2026-34060是Ruby LSP中存在的一个代码执行漏洞。该漏洞允许恶意用户通过特制的.vscode/settings.json文件在受害者机器上执行任意代码,可能导致系统被完全控制。受影响的版本包括0.26.9之前的Ruby LSP版本。此问题已在0.26.9版本中得到修复。
此漏洞源于 Ruby LSP 在处理 VS Code 工作区设置 rubyLsp.branch 时,未对用户输入进行充分的 sanitization,直接将其插入到生成的 Gemfile 文件中。攻击者可以通过精心构造的 .vscode/settings.json 文件,在其中包含恶意 Ruby 代码,当用户打开该项目时,Ruby LSP 会将此恶意代码作为 Gemfile 的一部分进行加载和执行。这可能导致远程代码执行 (RCE)。攻击者可以利用此漏洞执行任意命令,例如窃取敏感数据(例如 API 密钥、数据库凭据),安装恶意软件,甚至完全控制受影响的系统。受影响的系统包括使用 Shopify.ruby-lsp 版本低于 0.10.2 或 ruby-lsp 版本低于 0.26.9 的用户。由于 Gemfile 是 Ruby 项目的核心依赖文件,因此攻击者可以利用此漏洞控制项目的依赖关系,从而进一步扩大攻击范围。攻击者可能需要访问包含 .vscode/settings.json 文件的项目,或者诱使用户打开包含恶意设置文件的项目。
目前尚未公开报告任何利用此漏洞的案例 (KEV)。虽然没有公开的 POC (Proof of Concept) 代码,但漏洞的本质允许远程代码执行,因此存在被利用的风险。由于该漏洞允许执行任意代码,且攻击者只需要访问包含恶意 .vscode/settings.json 文件的项目,因此其紧急程度较高。建议尽快应用补丁,以降低潜在的安全风险。虽然目前没有公开的利用案例,但安全研究人员可能会在未来发布利用代码,因此及时更新至关重要。
漏洞利用状态
EPSS
0.08% (23% 百分位)
修复此漏洞的关键是升级到受影响版本之后的版本。请立即将 Shopify.ruby-lsp 升级到 0.10.2 或更高版本,并将 ruby-lsp 升级到 0.26.9 或更高版本。如果无法立即升级,一种临时的缓解措施是删除或修改 .vscode/settings.json 文件中的 rubyLsp.branch 设置,或者确保该设置的值不包含任何恶意代码。在升级后,建议验证 Ruby LSP 是否已正确更新,并检查项目是否正常工作。可以通过检查 Ruby LSP 的版本号来验证升级是否成功。升级后,建议重新启动 VS Code 以确保所有更改生效。如果项目依赖于其他与 Ruby LSP 相关的扩展,请确保这些扩展也已更新到最新版本,以避免潜在的兼容性问题。
更新 ruby-lsp gem 到 0.26.9 或更高版本。这修复了任意代码执行漏洞。运行 `gem update ruby-lsp` 来更新。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-34060 是一个 Ruby LSP 漏洞,允许攻击者通过恶意 VS Code 设置文件执行任意 Ruby 代码。
如果您的 Shopify.ruby-lsp 版本低于 0.10.2 或 ruby-lsp 版本低于 0.26.9,则您可能受到此漏洞的影响。
请将 Shopify.ruby-lsp 升级到 0.10.2 或更高版本,并将 ruby-lsp 升级到 0.26.9 或更高版本。
目前尚未公开报告任何利用此漏洞的案例,但存在潜在的利用风险。
请参考 NVD 数据库:https://nvd.nist.gov/vuln/detail/CVE-2026-34060 或 Shopify 官方安全公告。
上传你的 Gemfile.lock 文件,立即知道是否受影响。