漏洞概述 漏洞名称: Command Injection via unvalidated ID and ENABLE arguments 描述: 库中的 和 命令未验证其参数。攻击者可以利用这些命令的参数向任意 IMAP 命令注入恶意内容。 影响范围 受影响版本: - (RubyGems): >= 0.6.0, = 0, <= 0.5.14 严重程度: 4.3 / 10 (Moderate) CVSS v4 基础指标: - 攻击向量: Local - 攻击复杂度: High - 攻击要求: Present - 特权要求: High - 用户交互: Active - 系统影响指标: - 机密性: None - 完整性: High - 可用性: Low - 后续系统影响指标: - 机密性: None - 完整性: None - 可用性: None CVE ID: CVE-2024-47242 弱点: - CWE-77 - CWE-93 修复方案 更新到已验证 和 参数的 版本: - 补丁版本: 0.6.4.1 - 补丁版本: 0.5.15 如果无法升级 : - 不要对 字段值使用不受信任的输入 - 或添加验证,确保 字段值不包含任何 CR 或 LF 字节 其他信息 作者: nevans 发布时间: 2 weeks ago Moderator: nevans published GHSA-46q3-7pv7-qmqq