PT-2025-18094 · Net::Imap+3 · Net::Imap+3
Masamuneee
·
Publicado
2025-04-28
·
Atualizado
2025-11-21
·
CVE-2025-43857
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:N/A:C |
Nome do Software Vulnerável e Versões Afetadas
Versões do Net::IMAP anteriores a 0.5.7, 0.4.20, 0.3.9 e 0.2.5
Descrição
A falha permite negação de serviço por exaustão de memória quando o Net::IMAP lê as respostas do servidor. Um servidor malicioso pode enviar uma contagem de bytes "literal", que é lida automaticamente pela thread de recebimento do cliente, fazendo com que o leitor de resposta aloque memória para o número de bytes indicado pela resposta do servidor. Isso pode afetar conexões inseguras e servidores com bugs, não confiáveis ou comprometidos.
Recomendações
Para versões anteriores a 0.5.7, atualize para a versão 0.5.7 ou posterior.
Para versões anteriores a 0.4.20, atualize para a versão 0.4.20 ou posterior.
Para versões anteriores a 0.3.9, atualize para a versão 0.3.9 ou posterior.
Para versões anteriores a 0.2.5, atualize para a versão 0.2.5 ou posterior.
Como solução temporária, considere restringir conexões a servidores IMAP confiáveis para minimizar o risco de exploração.
Exploit
Correção
DoS
Resource Exhaustion
Allocation of Resources Without Limits
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Astra Linux
Debian
Net::Imap
Red Os