CVE-2026-47737 in Pumainfo

Zusammenfassung

von VulDB • 14.07.2026

Puma ist ein für Parallelität konzipierter Ruby/Rack-Webserver. Von Version 5.5.0 bis einschließlich 7.2.1 sowie in der Reihe 8.0.x (bis 8.0.2) ist Puma anfällig für Source-IP-Spoofing, wenn `set_remote_address proxy_protocol: :v1` aktiviert ist und persistente Verbindungen verwendet werden. Dies liegt daran, dass Puma PROXY-Protokollheader nach jeder Keep-Alive-Anfrage auf derselben Verbindung fehlerhaft erneut parst, was es einem Angreifer ermöglicht, einen zweiten PROXY-Header einzufügen und REMOTE_ADDR zu überschreiben. Dieses Problem wurde in den Versionen 7.2.1 und 8.0.2 behoben.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Zuständig

GitHub M

Reservieren

20.05.2026

Veröffentlichung

14.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379005

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Want to stay up to date on a daily basis?

Enable the mail alert feature now!