Ruby RDoc 3.12.2 曝高危漏洞 (CVE-2020-10663, CVE-2021-31799)，无官方修复方案

Ruby 核心文档工具 RDoc 的 3.12.2 版本被确认存在两个未修复的高危安全漏洞，最高严重性评分为 7.5。这两个漏洞直接存在于项目的依赖链中，且目前没有可用的官方补丁或升级路径，迫使依赖此版本 RDoc 的 Ruby 项目持续暴露在潜在攻击风险之下。

漏洞详情显示，第一个漏洞 CVE-2020-10663 (CVSS 7.5) 存在于捆绑的 `json-1.8.6.gem` 库中，被标记为直接依赖。第二个漏洞 CVE-2021-31799 (CVSS 7.0) 则直接存在于 `rdoc-3.12.2.gem` 本身。两个漏洞的“修复版本”字段均标注为“N/A”，且“可用修复”状态为“否”，这表明上游维护者可能已停止对此旧版本提供安全支持。该漏洞报告源自对项目 `Gemfile.lock` 和缓存路径 `/tmp/containerbase/cache/.ruby/cache/rdoc-3.12.2.gem` 的扫描。

这种情况对仍在使用旧版 Ruby 工具链或遗留系统的开发团队构成了直接的安全压力。由于 RDoc 是 Ruby 生态中生成项目文档的基础工具，其漏洞可能通过供应链攻击或自动化构建流程被利用。项目维护者面临的选择有限：要么接受风险，要么投入资源进行复杂的依赖替换或环境隔离。此事件凸显了在软件供应链中，即使是非核心的构建工具，其过时且未维护的版本也可能成为整个系统安全链条中的薄弱环节。