つみかさね

CVE-2026-42258

Critical(9.8)

CVE-2026-42258 — Ruby Net::IMAP Symbolシンボル引数経由のCRLFインジェクション

公開日: 2026-05-20データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
net-imapRuby< 0.4.24, < 0.5.14, < 0.6.4

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1net-imap gemのバージョンを確認する(gem list net-imap)
  2. 20.4.24 / 0.5.14 / 0.6.4 未満の場合はアップデートする
  3. 3gem update net-imap または bundle update net-imap を実行する

影響対象

net-imap gem利用者

補足

  • -CVE-2026-42257と同バージョンで修正されています。一度のアップデートで両方が解決されます
CVERubyNet::IMAPCRLFインジェクションSymbol

概要

RubyのNet::IMAPライブラリにおいて、IMAPコマンドへのSymbol(シンボル)引数がCRLFインジェクション / IMAPコマンドインジェクションに脆弱です(CVE-2026-42258)。

CVE-2026-42257と同じ根本原因を持ちますが、本脆弱性はSymbol型引数を渡すケースに特有の問題です。Symbol引数の変換・サニタイズが不十分なため、CRLF文字を含むSymbolが使用された場合に任意のIMAPコマンドを注入できます。

両脆弱性はnet-imap 0.4.24、0.5.14、0.6.4で同時に修正されています。

CVSSベクトル

項目
スコア9.8(Critical)
攻撃元区分ネットワーク(Network)
攻撃の複雑さ低(Low)
必要な権限不要(None)
ユーザー操作不要(None)
CWECWE-77(コマンドインジェクション)、CWE-93(CRLFインジェクション)

影響を受けるソフトウェア

gem名影響バージョン修正バージョン
net-imap0.4.24未満0.4.24
net-imap0.5.14未満0.5.14
net-imap0.6.4未満0.6.4

修正バージョンと回避策

  • 修正バージョン: net-imap 0.4.24、0.5.14、0.6.4
  • gem update net-imap または bundle update net-imap でアップデートしてください

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-42257Ruby Net::IMAP 文字列引数のCRLFインジェクションCVSS 9.8CVE-2026-42245Ruby Net::IMAP ResponseReader Quadratic DoSCVSS 7.5

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-42258
GitHub Advisory:https://github.com/ruby/net-imap/security/advisories/GHSA-75xq-5h9v-w6px
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。