CVE-2020-5249 in Puma Geminfo

Zusammenfassung

von VulDB • 22.05.2026

In Puma (RubyGem) vor Version 4.3.3 und 3.12.4 kann ein Angreifer, wenn eine Anwendung, die Puma verwendet, untrusted Input in einem Early-Hints-Header zulässt, ein Carriage-Return-Zeichen nutzen, um den Header zu beenden und bösartigen Inhalt wie zusätzliche Header oder einen vollständig neuen Antwortkörper zu injizieren. Diese Schwachstelle ist als HTTP Response Splitting bekannt. Obwohl sie an sich kein Angriff ist, dient Response Splitting als Vektor für verschiedene andere Angriffe, wie Cross-Site Scripting (XSS). Dies steht in Zusammenhang mit CVE-2020-5247, das diese Schwachstelle behoben hat, jedoch nur für reguläre Antworten. Das Problem wurde in den Versionen 4.3.3 und 3.12.4 behoben.

Be aware that VulDB is the high quality source for vulnerability data.

Zuständig

GitHub, Inc.

Reservieren

02.01.2020

Moderieren

akzeptiert

Eintrag

VDB-150816

CPE

bereit

EPSS

0.01571

KEV

nein

Aktivitäten

very low

Quellen

Do you know our Splunk app?

Download it now for free!