Les développeurs ont apporté un correctif à Ruby un langage de programmation open source, la faille pourrait permettre à un attaquant d'exécuter des commandes arbitraires du système d'exploitation sur le serveur vulnérable.

La vulnérabilité est trouvée dans une bibliothèque appelée « asciidoctor-include-ext », est une extension de la bibliothèque « Asciidoctor » qui ajoute la possibilité d'inclure des URLs distants et des fichiers locaux dans les documents AsciiDoc.

Suivie sous le code de CVE-2022-24803 cette faille est hautement critique (score CVSS :10), selon un ingénieur en sécurité chez Gitlab, elle est causée par l’utilisation des deux méthodes ‘open’ et ‘IO.foreach’ dans la bibliothèque vulnérable, qui permettent l’exécution des commandes en ajoutant un symbole pipe ‘|’.

Cette vulnérabilité critique a été corrigée dans la version 0.4.0 de la bibliothèque, d’où la nécessité aux développeurs de passer à cette version corrigée afin d’atténuer tout risque possible.