CVE-2026-34060
CriticalCVSS 9.8Summary
Ruby LSP to implementacja protokołu serwera językowego dla Ruby. Przed wersjami Shopify.ruby-lsp 0.10.2 i ruby-lsp 0.26.9, ustawienie rubyLsp.branch w VS Code było interpolowane bez sanitizacji do generowanego Gemfile, co umożliwiało wykonanie dowolnego kodu Ruby, gdy użytkownik otworzył projekt zawierający złośliwy plik .vscode/settings.json.
Risk Assessment
Wykorzystanie tej podatności może prowadzić do zdalnego wykonania kodu, co stwarza poważne zagrożenie dla bezpieczeństwa systemów i danych organizacji. Użytkownicy mogą być narażeni na ataki, które mogą prowadzić do utraty danych lub przejęcia kontroli nad systemem.
Recommendation
Zaleca się aktualizację do wersji Shopify.ruby-lsp 0.10.2 lub ruby-lsp 0.26.9, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt projektów pod kątem złośliwych plików konfiguracyjnych.
Original NVD description (English source)
Ruby LSP is an implementation of the language server protocol for Ruby. Prior to Shopify.ruby-lsp version 0.10.2 and ruby-lsp version 0.26.9, the rubyLsp.branch VS Code workspace setting was interpolated without sanitization into a generated Gemfile, allowing arbitrary Ruby code execution when a user opens a project containing a malicious .vscode/settings.json. This issue has been patched in Shopify.ruby-lsp version 0.10.2 and ruby-lsp version 0.26.9.

