Angesichts von CVE-2020-10663: Unsafe Object Creation Vulnerability in JSON (Additional fix) | Ruby, welches Backend verwenden Sie? Wenn es sich um die json-Gem handelt, sollte die Gemfile nicht vielleicht Version 2.3.0 erzwingen, anstatt die Kopie aus der Ruby-Standardbibliothek zu verwenden?
Wir verwenden hauptsächlich Oj, aber ich vermute, es gibt einige Fälle, in denen json direkt genutzt wird.
Ich habe die Abhängigkeit hier aktualisiert:
https://review.discourse.org/t/dev-upgrade-json-gem-and-add-explicit-dependency/10016
In der Zwischenzeit gibt es Ruby-Releases für alle Zweige ab 2.4, die die Sicherheitskorrektur in der im Quellbaum enthaltenen JSON-Kopie enthalten.