CVE-2020-5249 in Puma Gemالمعلومات

الملخص

بحسب VulDB • 22/05/2026

في Puma (RubyGem) قبل الإصدارين 4.3.3 و3.12.4، إذا كان التطبيق الذي يستخدم Puma يسمح بإدخال غير موثوق به في رأس early-hints، يمكن لمهاجم استخدام حرف إرجاع العربة (carriage return) لإنهاء الرأس وإدخال محتوى ضار، مثل رؤوس إضافية أو جسم استجابة جديد بالكامل. تُعرف هذه الثغرة باسم "تقسيم استجابة HTTP" (HTTP Response Splitting). وعلى الرغم من أنها ليست هجمة بحد ذاتها، فإن تقسيم الاستجابة يُعد مساراً لهجمات أخرى متعددة، مثل تنصت عبر المواقع (XSS). ترتبط هذه الثغرة بـ CVE-2020-5247، الذي أصلح هذه الثغرة ولكن فقط للاستجابات العادية. تم إصلاح هذه المشكلة في الإصدارين 4.3.3 و3.12.4.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

مسؤول

GitHub, Inc.

حجز

02/01/2020

الاعتدال

تمت الموافقة

إدخال

VDB-150816

EPSS

0.01571

KEV

لا

النشاطات

منخفض جدًا

القطاع

Telecommunication

المصادر

Might our Artificial Intelligence support you?

Check our Alexa App!