CVE-2026-34060Ruby LSP 在特定版本前存在严重安全漏洞。该问题源于 `rubyLsp.branch` VS Code 工作区设置在生成 Gemfile 时未经充分消毒。攻击者可诱导用户打开包含恶意 `.vscode/settings.json` 的项目,导致恶意 Ruby 代码被注入并执行,从而在用户系统上实现任意代码执行。
该漏洞的原理是 Ruby LSP 在处理工作区配置时,直接将 `rubyLsp.branch` 的值通过字符串插值方式拼接到生成的 Gemfile 中,未对输入进行严格的清洗和转义。利用方式为:攻击者在项目的 `.vscode/settings.json` 文件中设置恶意的 `rubyLsp.branch` 值(例如包含 `system('calc')` 等命令的 Ruby 代码片段)。当受害用户使用 VS Code 打开该项目时,Ruby LSP 扩展会尝试解析配置并生成 Gemfile,此时被注入的恶意 Ruby 代码将会被执行,从而允许攻击者在受害者的环境中执行任意系统命令。
暂无PoC代码
暂无版本信息