Net\
Уязвимости
6
Эксплуатируемые
0
Макс. CVSS
7.6
Макс. EPSS
0.00937
Распределение по критичности
Критический
0
Высокий
1
Средний
4
Низкий
1
Затронутые диапазоны версий
0.4.0–0.4.24< 0.2.5< 0.3.10< 0.4.24
Также сопоставлено как (исходные строки): net::imap
Топ уязвимостей
CVE-2026-42246Net::IMAP реализует функциональность клиента Internet Message Access Protocol (IMAP) в Ruby. До версий 0.3.10, 0.4.24, 0.5.14 и 0.6.4 злоумышленник может заставить Net::IMAP#starttls вернуться «успешно», не начав TLS. Эта проблема была исправлена в версиях 0.3.10, 0.4.24, 0.5.14 и 0.6.4.
CVE-2026-42256Net::IMAP реализует функциональность клиента Internet Message Access Protocol (IMAP) в Ruby. От версий 0.4.0 до 0.4.24, от 0,5.0 до 0,5.14 и 0.6.0 до 0.6.4, при аутентификации соединения с SCRAM-SHA1 или SCRAM-SHA256, враждебный сервер может выполнять вычислительную атаку отказа в обслуживании на клиентский процесс, отправляя большое значение итерации. Эта проблема была исправлена в версиях 0.4.24, 0.5.14 и 0.6.4.
CVE-2025-43857Net::IMAP реализует функциональность клиента IMAP в Ruby. До версий 0.5.7, 0.4.20, 0.3.9 и 0.2.5 существует возможность отказа в обслуживании из-за исчерпания памяти при чтении ответов сервера. Злоумышленнический сервер может отправить "литеральный" счетчик байтов, который автоматически считывается потоком получателя клиента, что приводит к немедленному выделению памяти для указанного количества байтов. Это не является проблемой при безопасном подключении к доверенным серверам IMAP, но может затронуть небезопасные подключения и ошибочные, ненадежные или скомпрометированные серверы.
Исправление включает добавление настраиваемого ограничения `max_response_size` в средство чтения ответов Net::IMAP. По умолчанию `max_response_size` равно 512 МБ для Net::IMAP 0.5.7 и `nil` (неограниченно) для более ранних версий. При подключении к ненадежным серверам или использовании небезопасных подключений следует использовать более низкое значение `max_response_size`.
Источники:
- [1] https://github.com/ruby/net-imap/security/advisories/GHSA-j3g3-5qv5-52mj
- [2] https://github.com/ruby/net-imap/pull/442
- [3] https://github.com/ruby/net-imap/pull/444/commits/0ae8576c1a90bcd9573f81bdad4b4b824642d105#diff-53721cb4d9c3fb86b95cc8476ca2df90968ad8c481645220c607034399151462
- [4] https://github.com/ruby/net-imap/pull/445
- [5] https://github.com/ruby/net-imap/pull/446
CVE-2026-42258Net::IMAP реализует функциональность клиента Internet Message Access Protocol (IMAP) в Ruby. До версий 0.4.24, 0.5.14 и 0.6.4 аргументы символов для команд уязвимы для инъекции CRLF / командования IMAP с помощью аргументов Symbol, передаваемых в команды IMAP. Эта проблема была исправлена в версиях 0.4.24, 0.5.14 и 0.6.4.
CVE-2026-42257Net::IMAP реализует функции клиента Internet Message Access Protocol (IMAP) в Ruby. Перед версиями 0.4.24, 0.5.14 и 0.6.4 несколько команд Net::IMAP принимают аргумент необработанной строки, который отправляется на сервер без проверки или побега. Если эта строка получена из управляемого пользователем входа, она может содержать последовательности CRLF, которые злоумышленник может использовать для инъекции произвольных команд IMAP. Эта проблема была исправлена в версиях 0.4.24, 0.5.14 и 0.6.4.
CVE-2026-42245Net::IMAP реализует функциональность клиента Internet Message Access Protocol (IMAP) в Ruby. Перед версиями 0.4.24, 0.5.14 и 0.6.4, Net::IMAP:::ResponseReader имеет квадратичную сложность времени при чтении больших ответов, содержащих множество строковых букв. Враждебный сервер может отправлять ответы, которые создаются для исчерпания процессора клиента для атаки отказа в обслуживании. Эта проблема была исправлена в версиях 0.4.24, 0.5.14 и 0.6.4.