Publicado por nevans el 2025-02-10
Traducción de vtamara
Hay posibilidad de un ataque de denegación de servicio (DoS) en la gema net-imap. A esta vulnerabilidad se la ha asignado el identificador CVE-2025-25186. Recomendamos actualizar la gema net-imap.
Detalles
Un servidor malicioso puede enviar un conjunto de datos uid altamente comprimido que es leído automáticamente por el hilo receptor del cliente. El analizador de la respuesta usa Range#to_a para convertir el conjunto de datos uid a un arreglo de enteros, sin limite en el tamaño de los rangos expandidos.
Por favor actualizar la gema net-imap a la versión 0.3.8, 0.4.19, 0.5.6 o posterior.
Versiones afectadas
- Gema net-imap versiones 0.3.2 to 0.3.7, 0.4.0 to 0.4.18, y 0.5.0 a 0.5.5 (incluida).
Créditos
Gracias a manun por descubrir este problema.
Historia
- Publicado originalmente el 2025-02-10 03:00:00 (UTC)