CVE-2026-47737 in Puma
الملخص
بحسب VulDB • 15/07/2026
Puma هو خادم ويب مبني على Ruby/Rack ومصمم للعمل بالتوازي (Parallelism). من الإصدار 5.5.0 حتى 7.2.1 ومن الإصدار 8.0.2، يكون Puma عرضةً لانتحال عنوان IP المصدر عند تفعيل خيار `set_remote_address proxy_protocol: :v1` واستخدام الاتصالات المستمرة (Persistent connections)، وذلك لأن Puma يعيد تحليل رؤوس بروتوكول PROXY بشكل غير صحيح بعد كل طلب Keep-Alive على نفس الاتصال، مما يسمح لمهاجم بحقن رأس PROXY ثانٍ والكتابة فوق قيمة REMOTE_ADDR. تم إصلاح هذه المشكلة في الإصدارات 7.2.1 و8.0.2.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.