CVE-2026-42258

Nome do Software Vulnerável e Versões Afetadas Net::IMAP versões anteriores a 0.4.24 Net::IMAP versões anteriores a 0.5.14 Net::IMAP versões anteriores a 0.6.4

Descrição Argumentos do tipo Symbol passados para comandos IMAP estão suscetíveis a Injeção de CRLF e injeção de Comandos IMAP. Argumentos Symbol representam flags de sistema IMAP, que são formatados como átomos com um prefixo ``. Versões vulneráveis enviam o nome do símbolo diretamente para o socket sem validação, permitindo a inclusão de caracteres de flag inválidos, como SP (espaço) e CRLF (retorno de carro e alimentação de linha). Isso permite que um invasor encerre o comando atual e injete novos comandos IMAP não autorizados, como DELETE mailbox, caso um desenvolvedor passe entradas controladas pelo usuário como um Symbol para os comandos afetados.

Recomendações Atualize para a versão 0.4.24, 0.5.14 ou 0.6.4, dependendo do ramo da versão principal atual. Evite chamar #to sym em entradas fornecidas por usuários que não foram validadas. Não serialize nem desserialize argumentos de comando de forma insegura usando métodos como YAML ou Marshal que possam criar argumentos Symbol não validados. Utilize argumentos Symbol codificados rigidamente (hard-coded) ou restrinja-os a uma lista enumerada predefinida para comandos IMAP que permitam argumentos de flag.