CVE-2025-25186

Nome do Software Vulnerável e Versões Afetadas Versões do Net::IMAP 0.3.2 a 0.3.7 Versões do Net::IMAP 0.4.0 a 0.4.18 Versões do Net::IMAP 0.5.0 a 0.5.5

Descrição Existe a possibilidade de negação de serviço por esgotamento de memória no analisador de resposta do net-imap. A qualquer momento enquanto o cliente estiver conectado, um servidor malicioso pode enviar dados uid-set altamente compactados que são lidos automaticamente pela thread receptora do cliente. O analisador de resposta usa Range#to a para converter os dados uid-set em arrays de inteiros, sem limitação no tamanho expandido dos intervalos.

Recomendações Para as versões do Net::IMAP 0.3.2 a 0.3.7, atualize para a versão 0.3.8 ou superior e configure config.parser max deprecated uidplus data size para definir o tamanho máximo do conjunto UID UIDPlusData. Para as versões do Net::IMAP 0.4.0 a 0.4.18, atualize para a versão 0.4.19 ou superior e configure config.parser use deprecated uidplus data para false. Para as versões do Net::IMAP 0.5.0 a 0.5.5, atualize para a versão 0.5.6 ou superior e configure config.parser use deprecated uidplus data para :up to max size. Como solução temporária, considere desabilitar a função Net::IMAP::ResponseParser até que uma correção esteja disponível. Restrinja o acesso ao módulo vulnerável net-imap para minimizar o risco de exploração. Evite usar o parâmetro uid-set no endpoint da API afetado até que o problema seja resolvido.