Alla luce di CVE-2020-10663: Unsafe Object Creation Vulnerability in JSON (Additional fix) | Ruby, quale backend state utilizzando? Se si tratta del gem json, non dovrebbe forse il Gemfile forzare la versione 2.3.0 invece della copia presente nella libreria standard di Ruby?
Usiamo principalmente Oj, ma immagino ci siano alcuni casi in cui json viene ancora utilizzato direttamente.
Ho aggiornato la dipendenza qui:
https://review.discourse.org/t/dev-upgrade-json-gem-and-add-explicit-dependency/10016
Nel frattempo, sono disponibili release di Ruby per tutti i rami dalla versione 2.4 in poi che includono la correzione di sicurezza nella copia JSON integrata.