CVE-2026-47737 in Pumainformation

Résumé

par VulDB • 15/07/2026

Puma est un serveur web Ruby/Rack conçu pour le parallélisme. De la version 5.5.0 jusqu'aux versions 7.2.1 et 8.0.2, Puma présente une vulnérabilité de falsification d'adresse IP source lorsque l'option `proxy_protocol: :v1` est activée via `set_remote_address` et que des connexions persistantes sont utilisées. En effet, Puma analyse incorrectement les en-têtes du protocole PROXY après chaque requête keep-alive sur la même connexion, ce qui permet à un attaquant d'injecter un second en-tête PROXY pour écraser `REMOTE_ADDR`. Ce problème est corrigé dans les versions 7.2.1 et 8.0.2.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsable

GitHub M

Réserver

20/05/2026

Divulgation

14/07/2026

Modérer

accepté

Entrée

VDB-379005

CPE

prêt

EPSS

0.00177

KEV

non

Activités

très faible

Sources

Do you need the next level of professionalism?

Upgrade your account now!