À luz de CVE-2020-10663: Unsafe Object Creation Vulnerability in JSON (Additional fix) | Ruby, qual backend você está usando? Se for o gem json, o Gemfile não deveria forçar a versão 2.3.0 em vez da cópia do stdlib do Ruby?
Usamos principalmente o Oj, mas imagino que haja alguns casos em que o json ainda é usado diretamente.
Atualizei a dependência aqui:
https://review.discourse.org/t/dev-upgrade-json-gem-and-add-explicit-dependency/10016
Enquanto isso, há lançamentos do Ruby para todos os branches a partir da versão 2.4 que incluem a correção de segurança na cópia JSON integrada ao código-fonte.