RubyGems 2.7.6 remenda vulnerabilidades do tipo path traversal, que acontecem durante a instalação de uma gem. Este patch também corrige uma vulnerabilidade de scripts (XSS) na página web que é exibida através do servidor gem, e que corresponde a uma possível falha de desserialização de objetos inseguros.
Esta não foi a única falha de deserialização corrigida recentemente no RubyGems. Em outubro, os developers informaram os utilizadores de que uma vulnerabilidade de desserialização insegura poderia ter sido explorada para a execução remota de código.
A versão mais recente do RubyGems também inclui algumas melhorias de segurança, como desencadear um erro de segurança quando um pacote contém arquivos duplicados, reforçando a validação de URL no atributo da página inicial de especificações e interpretando estritamente os campos octal nos cabeçalhos tar.
Foram também corrigidas 5 vulnerabilidades no último ano no Ruby, incluindo execução de código remoto e uma falha que permitia a corrupção de memória.