CVE-2020-10663: Unsafe Object Creation Vulnerability in JSON (Additional fix) | Ruby を踏まえて、どのバックエンドを使用していますか?json gem を使用している場合、Gemfile で Ruby の標準ライブラリのコピーではなく、2.3.0 を強制するべきではないでしょうか?
主に Oj を使用していますが、json を直接使用するケースも一部あるかと思います。
依存関係を更新しました:
https://review.discourse.org/t/dev-upgrade-json-gem-and-add-explicit-dependency/10016
それまでの間、2.4 以降のすべてのブランチに対して、セキュリティ修正が intree の JSON コピーに含まれた Ruby リリースが提供されています。