CVE-2020-5249 in Puma Gem
Riassunto
di VulDB • 14/06/2026
In Puma (RubyGem) prima delle versioni 4.3.3 e 3.12.4, se un'applicazione che utilizza Puma consente l'inserimento di input non attendibili in un'intestazione early-hints, un attaccante può utilizzare il carattere carriage return per terminare l'intestazione ed eseguire l'iniezione di contenuti dannosi, come intestazioni aggiuntive o un intero nuovo corpo della risposta. Questa vulnerabilità è nota come HTTP Response Splitting. Sebbene non sia un attacco in sé, lo response splitting costituisce un vettore per diversi altri attacchi, quali il cross-site scripting (XSS). Questo problema è correlato a CVE-2020-5247, che ha risolto la vulnerabilità ma solo per le risposte regolari. La correzione è stata rilasciata nelle versioni 4.3.3 e 3.12.4.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.