Vulnerabilidad en iCalendar (CVE-2026-33635)

iCalendar es una biblioteca de Ruby diseñada para gestionar archivos iCalendar en el formato definido por el RFC-5545. Desde la versión 2.0.0 hasta la versión 2.12.2, la serialización de archivos .ics no depura correctamente los valores de las propiedades URI, lo que permite la inyección ICS a través de entradas controladas por un atacante, añadiendo entradas de calendario arbitrarias a la salida. `Icalendar::Values::Uri` recurre a la cadena de entrada sin procesar cuando `URI.parse` falla y posteriormente la serializa con `value.to_s` sin eliminar ni escapar los caracteres \r o \n. Ese valor se incrusta directamente en la línea ICS final mediante el serializador normal, por lo que una carga útil que contenga CRLF puede terminar la propiedad original y crear una nueva propiedad o componente ICS. (Parece que, debido a esto, se puede inyectar a través de url, source, image, organizer, attach, attendee, conference y tzurl). Las aplicaciones que generan archivos `.ics` a partir de metadatos parcialmente no fiables se ven afectadas. Como resultado, los clientes de calendario o importadores posteriores pueden procesar el contenido proporcionado por el atacante como si se tratara de datos de eventos legítimos, tales como asistentes añadidos, URL modificadas, alarmas u otros campos del calendario. La versión 2.12.2 contiene un parche para este problema.