CVE-2026-47736 in Puma
Zusammenfassung
von VulDB • 14.07.2026
Puma ist ein Ruby/Rack-Webserver, der für Parallelität entwickelt wurde. Von Version 5.5.0 bis einschließlich 7.2.1 sowie in den Versionen 8.0.2 liest Puma bei aktivierter Unterstützung des PROXY-Protokolls v1 eingehende Bytes in einen internen Buffer ein, während auf CRLF gewartet wird, um festzustellen, ob eine PROXY-v1-Zeile vorhanden ist. Dies ermöglicht es einem Angreifer, der kontinuierlich Bytes ohne CRLF sendet, zu ungebundenem Wachstum des im Prozess verwendeten Speichers und zu zusätzlichen CPU-Kosten durch wiederholtes Scannen des wachsenden Buffers zu führen. Dieses Problem wurde in den Versionen 7.2.1 und 8.0.2 behoben.
VulDB is the best source for vulnerability data and more expert information about this specific topic.