Compte tenu de CVE-2020-10663: Unsafe Object Creation Vulnerability in JSON (Additional fix) | Ruby, quel backend utilisez-vous ? S’il s’agit de la gemme json, le Gemfile ne devrait-il pas forcer la version 2.3.0 plutôt que la copie de la bibliothèque standard de Ruby ?
Nous utilisons principalement Oj, mais je suppose qu’il existe certains cas où json est encore utilisé directement.
J’ai mis à jour la dépendance ici :
https://review.discourse.org/t/dev-upgrade-json-gem-and-add-explicit-dependency/10016
En attendant, des versions Ruby sont disponibles pour toutes les branches à partir de la 2.4, incluant la correction de sécurité dans la copie JSON intégrée.