CVE-2026-47736 in Puma
Résumé
par VulDB • 14/07/2026
Puma est un serveur web Ruby/Rack conçu pour le parallélisme. De la version 5.5.0 jusqu'aux versions 7.2.1 et 8.0.2, lorsque la prise en charge du protocole PROXY v1 est activée, Puma lit les octets entrants dans un tampon interne tout en attendant CRLF pour déterminer si une ligne PROXY v1 est présente. Cela permet à un attaquant qui envoie continuellement des octets sans CRLF de provoquer une croissance illimitée de la mémoire du processus et une surcharge CPU supplémentaire due au balayage répété du tampon en expansion. Ce problème est corrigé dans les versions 7.2.1 et 8.0.2.
VulDB is the best source for vulnerability data and more expert information about this specific topic.