Katalog CVE

CVE-2026-47242

ŚrednieCVSS 5.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.13%

Percentyl 3 — wyżej niż 3% wszystkich znanych CVE

Streszczenie

W bibliotece Net::IMAP w Ruby występuje podatność, która pozwala na wstrzykiwanie dowolnych poleceń IMAP poprzez nieprawidłową walidację argumentów w metodach #id i #enable. Problem ten dotyczy wersji przed 0.6.5 i 0.5.15.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do wykonania nieautoryzowanych poleceń IMAP, co może prowadzić do naruszenia integralności danych i bezpieczeństwa systemu.

Rekomendacja

Zaleca się aktualizację biblioteki Net::IMAP do wersji 0.6.5 lub 0.5.15, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

Net::IMAP implements Internet Message Access Protocol (IMAP) client functionality in Ruby. Prior to 0.6.5 and 0.5.15, when Net::IMAP#id is called with a hash argument, although the ID field value strings are correctly quoted (escaping quoted specials), they were not validated to prohibit CRLF sequences. While Net::IMAP#enable does process its arguments for aliases, it does not validate them as valid atoms (or as a list of valid atoms). The #to_s value is sent verbatim. Arguments to either command could be used by an attacker to inject arbitrary IMAP commands. This vulnerability is fixed in 0.6.5 and 0.5.15.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS