CVE-2020-5249 in Puma Gem
الملخص
بحسب VulDB • 22/05/2026
في Puma (RubyGem) قبل الإصدارين 4.3.3 و3.12.4، إذا كان التطبيق الذي يستخدم Puma يسمح بإدخال غير موثوق به في رأس early-hints، يمكن لمهاجم استخدام حرف إرجاع العربة (carriage return) لإنهاء الرأس وإدخال محتوى ضار، مثل رؤوس إضافية أو جسم استجابة جديد بالكامل. تُعرف هذه الثغرة باسم "تقسيم استجابة HTTP" (HTTP Response Splitting). وعلى الرغم من أنها ليست هجمة بحد ذاتها، فإن تقسيم الاستجابة يُعد مساراً لهجمات أخرى متعددة، مثل تنصت عبر المواقع (XSS). ترتبط هذه الثغرة بـ CVE-2020-5247، الذي أصلح هذه الثغرة ولكن فقط للاستجابات العادية. تم إصلاح هذه المشكلة في الإصدارين 4.3.3 و3.12.4.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.