Ruby net-imap < 0.4.24 / 0.5.x < 0.5.14 / 0.6.x < 0.6.4 多個弱點
medium Nessus Plugin ID 313278
語言:
概要
遠端主機已安裝受多個弱點影響的模組。說明
遠端主機上安裝的 net-imap Ruby 程式庫版本在 0.4.24之前 、 0.5.x0.5.14之前或 0.6.x 之前 0.6.4。因此會受到多個弱點影響。- 剖析包含多個字串常值的大型伺服器回應時,Net::IMAP::ResponseReader 元件會受到二次時間複雜度缺陷的影響。惡意 IMAP 伺服器可以透過特製的回應來利用此問題,耗盡用戶端 CPU 資源並造成拒絕服務。(CVE-2026-42245)
- 數個 Net::IMAP 命令無法正確驗證或逸出原始字串引數。如果這些字串包含使用者控制的資料,攻擊者可以使用插入的 CRLF 序列來執行任意 IMAP 命令。(CVE-2026-42257)
- 傳遞至 IMAP 命令的符號引數容易受到 CRLF/IMAP 命令插入的影響。此漏洞允許透過特製的 Symbol 引數插入任意 IMAP 命令。(CVE-2026-42258)
請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
升級至 net-imap 版本 0.4.24、 0.5.14或 0.6.4。另請參閱
https://github.com/advisories/GHSA-q2mw-fvj9-vvcw
Plugin 詳細資訊
嚴重性: Medium
ID: 313278
檔案名稱: ruby_gem_netimap_CVE_2026_42245_42257_42258.nasl
版本: 1.1
類型: Local
代理程式: windows, macosx, unix
系列: Misc.
已發布: 2026/5/8
已更新: 2026/5/8
支援的感應器: Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 6.7
CVSS v2
風險因素: High
基本分數: 7.5
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS 評分資料來源: CVE-2026-42257
CVSS v3
風險因素: Critical
基本分數: 9.8
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CVSS v4
風險因素: Medium
Base Score: 5.8
Threat Score: 1.9
Threat Vector: CVSS:4.0/E:U
Vector: CVSS:4.0/AV:L/AC:L/AT:P/PR:N/UI:P/VC:N/VI:H/VA:L/SC:N/SI:N/SA:N
弱點資訊
CPE: cpe:/a:ruby:net-imap
必要的 KB 項目: Host/ruby/modules/enumerated
修補程式發佈日期: 2026/4/23
弱點發布日期: 2026/4/23
參考資訊
CVE: CVE-2026-42245, CVE-2026-42257, CVE-2026-42258
IAVB: 2026-B-0117