ruby · Gao-Jun · Feb 11, 2025 · Feb 11, 2025
@@ -0,0 +1,30 @@
+---
+layout: news_post
+title: "CVE-2025-25186: net-imap 中的 DoS 漏洞"
+author: "nevans"
+translator: "GAO Jun"
+date: 2025-02-10 03:00:00 +0000
+tags: security
+lang: zh_cn
+---
+
+在 net-imap gem 中存在一个可能造成 DoS 的漏洞。此漏洞的 CVE 编号为[CVE-2025-25186](https://www.cve.org/CVERecord?id=CVE-2025-25186)。
+我们建议您更新 net-imap gem。
+
+## 详情
+
+恶意服务器可以发送高度压缩的 uid-set 数据，这些数据会由客户端的接收线程自动读取。响应解析器会使用 Range#to_a 将 uid-set 数据转换为整数数组，但不会对 Range 实例展开后的大小进行任何限制。
+
+请更新 net-imap gem 至 0.3.8，0.4.19，0.5.6，或更高版本。
+
+## 受影响版本
+
+* net-imap gem 版本 0.3.2 至 0.3.7， 0.4.0 至 0.4.18，以及 0.5.0 至 0.5.5。
+
+## 致谢
+
+感谢 [manun](https://hackerone.com/manun) 发现此问题。
+
+## 历史
+
+* 最初发布于 2025-02-10 03:00:00 (UTC)