つみかさね

CVE-2026-42257

Critical(9.8)

CVE-2026-42257 — Ruby Net::IMAP CRLFインジェクション / IMAPコマンドインジェクション

公開日: 2026-05-20データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
net-imapRuby< 0.4.24, < 0.5.14, < 0.6.4

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1net-imap gemのバージョンを確認する(gem list net-imap)
  2. 20.4.24 / 0.5.14 / 0.6.4 未満の場合はアップデートする(gem update net-imap)
  3. 3Bundlerを使用している場合はbundle update net-imapを実行する
  4. 4ユーザー制御入力をIMAP引数に渡している箇所のコードレビューを実施する

影響対象

net-imap gem利用者Ruby製メールクライアント・バックエンド開発者

補足

  • -Ruby 3.x組み込みのnet-imapを使用している場合は、gemとして個別にアップデートするか、Ruby自体のアップデートを確認してください
CVERubyNet::IMAPCRLFインジェクションIMAPコマンドインジェクション

概要

RubyのIMAP(Internet Message Access Protocol)クライアントライブラリNet::IMAPにおいて、複数のコマンドがraw文字列引数を検証・エスケープせずサーバーに送信する実装上の脆弱性があります(CVE-2026-42257)。

IMAPプロトコルはCRLF(\r\n)をコマンド区切り文字として使用します。ユーザー制御入力が引数に含まれる場合、CRLF文字を埋め込むことで任意のIMAPコマンドを注入できます。これにより、別ユーザーのメールボックスへのアクセス、データ改ざん、または認証バイパスなどが可能になる可能性があります。

関連する CVE-2026-42258(シンボル引数経由のCRLFインジェクション)も同時に修正されています。

CVSSベクトル

項目
スコア9.8(Critical)
攻撃元区分ネットワーク(Network)
攻撃の複雑さ低(Low)
必要な権限不要(None)
ユーザー操作不要(None)
CWECWE-77(コマンドインジェクション)、CWE-93(CRLFインジェクション)

影響を受けるソフトウェア

gem名影響バージョン修正バージョン
net-imap0.4.24未満0.4.24
net-imap0.5.14未満0.5.14
net-imap0.6.4未満0.6.4

修正バージョンと回避策

  • 修正バージョン: net-imap 0.4.24、0.5.14、0.6.4
  • gem update net-imap または bundle update net-imap で最新版へアップデートしてください
  • ユーザー制御入力をNet::IMAPのコマンド引数に直接渡している箇所がある場合は特に優先的に対応してください

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-42258Ruby Net::IMAP Symbol引数のCRLFインジェクションCVSS 9.8CVE-2026-42245Ruby Net::IMAP ResponseReader QuadraticDoSCVSS 7.5CVE-2026-42246Ruby Net::IMAP STARTTLS MITMバイパスCVSS 7.4

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-42257
GitHub Advisory:https://github.com/ruby/net-imap/security/advisories/GHSA-hm49-wcqc-g2xg
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。