CVE-2025-25186: Vulnerabilidade de DoS em net-imap

Escrito por nevans em 10/02/2025
Traduzido por nbluis

Existe uma possibilidade de DoS na gem net-imap. Esta vulnerabilidade foi atribuída ao identificador CVE CVE-2025-25186. Recomendamos atualizar a gem net-imap.

Detalhes

Um servidor malicioso pode enviar dados uid-set altamente compactados, que são lidos automaticamente pelo thread receptor do cliente. O parser de resposta usa Range#to_a para converter os dados uid-set em arrays de inteiros, sem limitação no tamanho expandido dos intervalos.

Atualize a gem net-imap para a versão 0.3.8, 0.4.19, 0.5.6 ou posterior.

Versões afetadas

• gem net-imap entre 0.3.2 e 0.3.7, 0.4.0 e 0.4.18, ou 0.5.0 e 0.5.5

Créditos

Obrigado a manun por descobrir este problema.

Histórico

• Publicado originalmente em 2025-02-10 03:00:00 (UTC)