Se ha descubierto una vulnerabilidad de severidad alta en la biblioteca erb de Ruby. Un actor malicioso podría ejecutar código arbitrario en los sistemas afectados mediante ataques de deserialización.
Productos afectados
- Ruby erb: versiones 6.0.3 y anteriores.
Impacto
La vulnerabilidad se ha identificado como:
CVE-2026–41316: con una puntuación de 8.1 en CVSS v3.1. Existe una vulnerabilidad de omisión de protección de deserialización. Un actor malicioso remoto que logre inducir el procesamiento de datos no confiables mediante Marshal.load podría explotar la falta de protecciones en los métodos def_method, def_module y def_class para ejecutar código arbitrario a través de la función eval(), eludiendo las medidas de seguridad implementadas en otras partes de la biblioteca.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias