CVE-2026-42246

Nome do Software Vulnerável e Versões Afetadas Net::IMAP versões anteriores a 0.3.10 Net::IMAP versões anteriores a 0.4.24 Net::IMAP versões anteriores a 0.5.14 Net::IMAP versões anteriores a 0.6.4

Description Um invasor man-in-the-middle pode fazer com que a função starttls() retorne sucesso sem realmente estabelecer uma conexão TLS. Isso ocorre quando um invasor injeta uma resposta OK etiquetada com uma etiqueta previsível antes que o cliente termine de enviar o comando, fazendo com que o comando seja concluído antes que o manipulador de resposta seja registrado. Isso resulta em um ataque de remoção de STARTTLS (STARTTLS stripping), onde o socket permanece não criptografado, levando à transmissão em texto claro de informações sensíveis.

Recommendations Atualize para a versão 0.3.10. Atualize para a versão 0.4.24. Atualize para a versão 0.5.14. Atualize para a versão 0.6.4. Conecte-se a uma porta TLS implícita em vez de usar STARTTLS com uma porta de texto claro. Verifique explicitamente se tls verified? é verdadeiro antes de usar a conexão após chamar starttls().