Skip to content

STOEGE-28668 Fix vulnerable gem versions#6

Open
vlasov-evgeny wants to merge 1 commit into
masterfrom
STOEGE-28668
Open

STOEGE-28668 Fix vulnerable gem versions#6
vlasov-evgeny wants to merge 1 commit into
masterfrom
STOEGE-28668

Conversation

@vlasov-evgeny

@vlasov-evgeny vlasov-evgeny commented Jun 22, 2026

Copy link
Copy Markdown

STOEGE-28668 Fix vulnerable gem versions

Что сделано

Обновлены уязвимые зависимости из Dependabot alerts и скорректирована обработка query-параметров для новой версии Faraday

Обновление зависимостей безопасности

  • Обновлён faraday с 2.12.2 до 2.14.3
  • Обновлён json с 2.18.0 до 2.19.9
  • Обновлён addressable с 2.8.8 до 2.9.0
  • Обновлён yard с 0.9.38 до 0.9.44

И добавлены явные development-зависимости:

  • base64
  • bigdecimal
  • racc
  • ostruct

Они нужны для запуска тестов на новых версиях Ruby, где часть этих библиотек больше не входит в список гемов по умолчанию. Эти зависимости не попадают в runtime-зависимости гема.

Обработка query-параметров в Faraday

В Metabase::Connection#request заменена полная перезапись query-параметров:

request.params = query_params

на добавление параметров к уже существующим:

request.params.update(query_params)

Полная перезапись могла затирать уже сформированные query params, из-за чего запросы формата :

  • GET /api/revision?entity=card&id=1
  • DELETE /api/session?session_id=...

могли формироваться некорректно (это было выявлено в тестах)

format_rows теперь добавляется в query params только если значение truthy. Это условие тоже было добавлено на основе падающих тестов, которые ожидали, что format_rows=false не должен отсылаться.

@vlasov-evgeny vlasov-evgeny self-assigned this Jun 22, 2026
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment

Labels

None yet

Development

Successfully merging this pull request may close these issues.

2 participants