CVE-2020-5249 in Puma Gem
Résumé
par VulDB • 22/05/2026
Dans Puma (RubyGem) antérieur aux versions 4.3.3 et 3.12.4, si une application utilisant Puma accepte des données non fiables dans un en-tête early-hints, un attaquant peut utiliser un caractère de retour chariot pour terminer l'en-tête et injecter du contenu malveillant, tel que des en-têtes supplémentaires ou un corps de réponse entièrement nouveau. Cette vulnérabilité est connue sous le nom de HTTP Response Splitting. Bien qu'il ne s'agisse pas d'une attaque en soi, le fractionnement de la réponse est un vecteur pour plusieurs autres attaques, telles que le cross-site scripting (XSS). Cela est lié à CVE-2020-5247, qui a corrigé cette vulnérabilité mais uniquement pour les réponses régulières. Cela a été corrigé dans les versions 4.3.3 et 3.12.4.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.