CVE-2020-5249 in Puma Geminformazioni

Riassunto

di VulDB • 14/06/2026

In Puma (RubyGem) prima delle versioni 4.3.3 e 3.12.4, se un'applicazione che utilizza Puma consente l'inserimento di input non attendibili in un'intestazione early-hints, un attaccante può utilizzare il carattere carriage return per terminare l'intestazione ed eseguire l'iniezione di contenuti dannosi, come intestazioni aggiuntive o un intero nuovo corpo della risposta. Questa vulnerabilità è nota come HTTP Response Splitting. Sebbene non sia un attacco in sé, lo response splitting costituisce un vettore per diversi altri attacchi, quali il cross-site scripting (XSS). Questo problema è correlato a CVE-2020-5247, che ha risolto la vulnerabilità ma solo per le risposte regolari. La correzione è stata rilasciata nelle versioni 4.3.3 e 3.12.4.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsabile

GitHub, Inc.

Prenotare

02/01/2020

Moderazione

accettato

CPE

pronto

EPSS

0.01571

KEV

no

Attività

molto basso

Fonti

Might our Artificial Intelligence support you?

Check our Alexa App!