漏洞概述 漏洞名称: Command Injection via non-synchronizing literal in "raw" argument 漏洞描述: 多个Net::IMAP命令接受一个“raw data”参数,该参数在验证后直接发送以防止命令注入。然而,如果服务器不支持非同步字面量,仍可能通过注入任意IMAP命令实现命令注入。 严重程度: 中等(5.8 / 10) 影响范围 受影响版本: - (RubyGems) >= 0.6.0, 0, <= 0.5.14 受影响命令: - for and - for , , , and - for and 修复方案 推荐措施: 升级到支持非同步字面量验证的 版本。 具体步骤: - 如果无法升级 : - 显式验证用户控制的输入以防止嵌入非同步字面量,除非服务器支持。 - 更谨慎的方法:无条件禁止所有嵌入的字面量,通过检查字符串输入不包含CR或LF字节。 - 验证服务器是否支持 、 或 能力,然后再使用未受信任的字符串输入作为受影响的“raw data”参数。 其他信息 CVE ID: CVE-2026-47240 弱点: CWE-77, CWE-93 发布者: nevans 发布时间: 2周前