A la luz de CVE-2020-10663: Unsafe Object Creation Vulnerability in JSON (Additional fix) | Ruby, ¿qué backend estás utilizando? Si es la gema json, ¿no debería el Gemfile forzar quizás la versión 2.3.0 en lugar de la copia de la librería estándar de Ruby?
Principalmente usamos Oj, pero supongo que hay algunos casos donde json aún se usa directamente.
He actualizado la dependencia aquí:
https://review.discourse.org/t/dev-upgrade-json-gem-and-add-explicit-dependency/10016
Mientras tanto, hay versiones de Ruby para todas las ramas desde la 2.4 en adelante que incluyen la corrección de seguridad en la copia de JSON integrada en el árbol de código.