CVE-2020-5247 in Puma Geminformation

Résumé

par VulDB • 19/06/2026

Dans Puma (RubyGem) antérieur aux versions 4.3.2 et 3.12.2, si une application utilisant Puma autorise l'insertion de données non fiables dans un en-tête de réponse, un attaquant peut utiliser des caractères de nouvelle ligne (c'est-à-dire `CR`, `LF` ou `\r`, `\n`) pour terminer l'en-tête et injecter du contenu malveillant, tel que des en-têtes supplémentaires ou un corps de réponse entièrement nouveau. Cette vulnérabilité est connue sous le nom d'HTTP Response Splitting (fractionnement de la réponse HTTP). Bien qu'il ne s'agisse pas d'une attaque en soi, le fractionnement de la réponse constitue un vecteur pour plusieurs autres attaques, telles que les scripts intersites (XSS). Cela est lié à CVE-2019-16254, qui a corrigé cette vulnérabilité pour le serveur web Ruby WEBrick. Ce problème a été résolu dans les versions 4.3.2 et 3.12.3 en vérifiant tous les en-têtes afin de détecter les fins de ligne et en rejetant les en-têtes contenant ces caractères.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsable

GitHub, Inc.

Réserver

02/01/2020

Modérer

accepté

Entrée

VDB-150748

CPE

prêt

EPSS

0.02487

KEV

non

Activités

très faible

Sources

Want to know what is going to be exploited?

We predict KEV entries!