Ruby RDoc 3.12.2 曝高危漏洞 (CVE-2020-10663, CVE-2021-31799)，无官方修复方案

Ruby 核心文档工具 RDoc 的 3.12.2 版本被确认存在两个未修复的高危安全漏洞，其中一个 CVSS 评分高达 7.5。这些漏洞直接存在于项目的依赖链中，且官方未提供补丁，迫使开发者自行承担风险或寻找替代方案。

具体漏洞涉及 `rdoc-3.12.2.gem` 本身及其依赖的 `json-1.8.6.gem`。CVE-2020-10663 影响 `json` 库，CVSS 评分为 7.5，被标记为高危。CVE-2021-31799 则直接影响 `rdoc` 库，CVSS 评分为 7.0，同样为高危。安全扫描报告明确指出，这两个漏洞均无官方修复版本可用，修复状态为“不可用”。这意味着依赖此版本 RDoc 的 Ruby 项目，其文档生成和解析过程可能面临潜在的攻击面。

此情况对 Ruby 生态构成持续风险。RDoc 是 Ruby 项目的标准文档工具，广泛集成于开发流程和 CI/CD 管道中。漏洞长期未修复，迫使项目维护者必须在安全风险与工具功能之间做出权衡。对于必须使用旧版本 Ruby 或特定 gem 依赖的遗留系统，风险尤为突出。这起事件凸显了维护老旧但核心的开源基础设施所面临的挑战，以及供应链安全中“可修复性”的关键缺口。