CVE-2020-5249 in Puma Geminformation

Résumé

par VulDB • 22/05/2026

Dans Puma (RubyGem) antérieur aux versions 4.3.3 et 3.12.4, si une application utilisant Puma accepte des données non fiables dans un en-tête early-hints, un attaquant peut utiliser un caractère de retour chariot pour terminer l'en-tête et injecter du contenu malveillant, tel que des en-têtes supplémentaires ou un corps de réponse entièrement nouveau. Cette vulnérabilité est connue sous le nom de HTTP Response Splitting. Bien qu'il ne s'agisse pas d'une attaque en soi, le fractionnement de la réponse est un vecteur pour plusieurs autres attaques, telles que le cross-site scripting (XSS). Cela est lié à CVE-2020-5247, qui a corrigé cette vulnérabilité mais uniquement pour les réponses régulières. Cela a été corrigé dans les versions 4.3.3 et 3.12.4.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

GitHub, Inc.

Réserver

02/01/2020

Modérer

accepté

Entrée

VDB-150816

CPE

prêt

EPSS

0.01571

KEV

non

Activités

très faible

Sources

Might our Artificial Intelligence support you?

Check our Alexa App!