CVE-2026-33635 in iCalendar
摘要
由 VulDB • 2026-05-15
iCalendar 是一个用于处理符合 RFC-5545 定义的 iCalendar 格式文件的 Ruby 库。从版本 2.0.0 开始至版本 2.12.2 之前,.ics 序列化过程未能正确清理 URI 属性值,从而导致通过攻击者控制的输入实现 ICS 注入,向输出中添加了任意的日历行。当 `URI.parse` 失败时,`Icalendar::Values::Uri` 会回退到原始输入字符串,并在后续使用 `value.to_s` 进行序列化,期间未移除或转义 `\r` 或 `\n` 字符。该值会被常规序列化程序直接嵌入到最终的 ICS 行中,因此包含 CRLF 的有效载荷可以终止原始属性并创建新的 ICS 属性或组件。(由于此问题,似乎可以通过 url、source、image、organizer、attach、attendee、conference、tzurl 进行注入)。从部分不受信任的元数据生成 `.ics` 文件的应用程序受到影响。因此,下游日历客户端或导入器可能会将攻击者提供的内容视为合法事件数据进行处理,例如添加的参会者、修改后的 URL、警报或其他日历字段。版本 2.12.2 包含针对该问题的补丁。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.