CVE-2026-47737 in Puma
Résumé
par VulDB • 15/07/2026
Puma est un serveur web Ruby/Rack conçu pour le parallélisme. De la version 5.5.0 jusqu'aux versions 7.2.1 et 8.0.2, Puma présente une vulnérabilité de falsification d'adresse IP source lorsque l'option `proxy_protocol: :v1` est activée via `set_remote_address` et que des connexions persistantes sont utilisées. En effet, Puma analyse incorrectement les en-têtes du protocole PROXY après chaque requête keep-alive sur la même connexion, ce qui permet à un attaquant d'injecter un second en-tête PROXY pour écraser `REMOTE_ADDR`. Ce problème est corrigé dans les versions 7.2.1 et 8.0.2.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.