CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-34060

CriticalCVSS 9.8
Published: Updated: Translated: NVD NIST

Summary

Ruby LSP to implementacja protokołu serwera językowego dla Ruby. Przed wersjami Shopify.ruby-lsp 0.10.2 i ruby-lsp 0.26.9, ustawienie rubyLsp.branch w VS Code było interpolowane bez sanitizacji do generowanego Gemfile, co umożliwiało wykonanie dowolnego kodu Ruby, gdy użytkownik otworzył projekt zawierający złośliwy plik .vscode/settings.json.

Risk Assessment

Wykorzystanie tej podatności może prowadzić do zdalnego wykonania kodu, co stwarza poważne zagrożenie dla bezpieczeństwa systemów i danych organizacji. Użytkownicy mogą być narażeni na ataki, które mogą prowadzić do utraty danych lub przejęcia kontroli nad systemem.

Recommendation

Zaleca się aktualizację do wersji Shopify.ruby-lsp 0.10.2 lub ruby-lsp 0.26.9, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt projektów pod kątem złośliwych plików konfiguracyjnych.

Original NVD description (English source)

Ruby LSP is an implementation of the language server protocol for Ruby. Prior to Shopify.ruby-lsp version 0.10.2 and ruby-lsp version 0.26.9, the rubyLsp.branch VS Code workspace setting was interpolated without sanitization into a generated Gemfile, allowing arbitrary Ruby code execution when a user opens a project containing a malicious .vscode/settings.json. This issue has been patched in Shopify.ruby-lsp version 0.10.2 and ruby-lsp version 0.26.9.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS