Escrito por nevans em 10/02/2025
Traduzido por nbluis
Existe uma possibilidade de DoS na gem net-imap. Esta vulnerabilidade foi atribuída ao identificador CVE CVE-2025-25186. Recomendamos atualizar a gem net-imap.
Detalhes
Um servidor malicioso pode enviar dados uid-set altamente compactados, que são lidos automaticamente pelo thread receptor do cliente. O parser de resposta usa Range#to_a para converter os dados uid-set em arrays de inteiros, sem limitação no tamanho expandido dos intervalos.
Atualize a gem net-imap para a versão 0.3.8, 0.4.19, 0.5.6 ou posterior.
Versões afetadas
- gem net-imap entre 0.3.2 e 0.3.7, 0.4.0 e 0.4.18, ou 0.5.0 e 0.5.5
Créditos
Obrigado a manun por descobrir este problema.
Histórico
- Publicado originalmente em 2025-02-10 03:00:00 (UTC)