Ruby net-imap < 0.5.15 / 0.6.x < 0.6.4.1 の複数の脆弱性
medium Nessus プラグイン ID 321503
Language:
概要
リモートホストに、複数の脆弱性の影響を受けるモジュールがインストールされています。説明
リモートホストにインストールされている net-imap Ruby ライブラリのバージョンは、0.5.15 より前か、0.6.4.1 より前の 0.6.x です。したがって、複数の脆弱性の影響を受けます。
- いくつかの Net::IMAP コマンドは、コマンドインジェクションを防止するために検証後に逐語的に送信される生データ引数を受け入れます。ただし、サーバーが非同期リテラルをサポートしていない場合でも、非同期リテラル内に任意の IMAP コマンドを注入できる可能性があります。(CVE-2026-47240)
- いくつかの Net::IMAP コマンドは、CRLF インジェクションを防ぐためにのみ検証され、その後逐語的に送信される生の文字列引数を受け入れます。この文字列がユーザーコントロール入力に由来する場合、攻撃者は、次のコマンドを最初のコマンドの継続として強制的に吸収させ、サービス拒否を引き起こす可能性があります。(CVE-2026-47241)
- id および enable という 2 つの Net::IMAP コマンドは、引数を検証しません。攻撃者がいずれかのコマンドの引数を利用して、任意の IMAP コマンドを注入する可能性があります。(CVE-2026-47242)
Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
net-imap バージョン 0.5.15 または 0.6.4.1 以降にアップグレードしてください。参考資料
http://www.nessus.org/u?85e59783
プラグインの詳細
深刻度: Medium
ID: 321503
ファイル名: ruby_gem_netimap_CVE_2026_47240_47241_47242.nasl
バージョン: 1.3
タイプ: Local
エージェント: windows, macosx, unix
ファミリー: Misc.
公開日: 2026/6/18
更新日: 2026/6/23
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: Medium
基本値: 5.6
現状値: 4.1
ベクトル: CVSS2#AV:L/AC:L/Au:N/C:N/I:C/A:P
CVSS スコアのソース: CVE-2026-47240
CVSS v3
リスクファクター: Medium
基本値: 6.1
現状値: 5.3
ベクトル: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:L
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
CVSS v4
リスクファクター: Medium
Base Score: 5.8
Threat Score: 1.9
Threat Vector: CVSS:4.0/E:U
Vector: CVSS:4.0/AV:L/AC:L/AT:P/PR:N/UI:P/VC:N/VI:H/VA:L/SC:N/SI:N/SA:N
CVSS スコアのソース: CVE-2026-47242
脆弱性情報
CPE: cpe:/a:ruby:net-imap
必要な KB アイテム: Host/ruby/modules/enumerated
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2026/6/9
脆弱性公開日: 2026/6/9