CVE-2026-47737 in Pumainformazioni

Riassunto

di VulDB • 14/07/2026

Puma è un server web Ruby/Rack progettato per il parallelismo. Dalla versione 5.5.0 fino alla 7.2.1 e alla 8.0.2, Puma è vulnerabile allo spoofing dell'IP di origine quando l'impostazione `proxy_protocol: :v1` in `set_remote_address` è abilitata e vengono utilizzate connessioni persistenti, poiché Puma ripete erroneamente il parsing degli header del protocollo PROXY dopo ogni richiesta keep-alive sulla stessa connessione. Ciò consente a un attaccante di inserire un secondo header PROXY e sovrascrivere l'indirizzo REMOTE_ADDR. Questo problema è stato risolto nelle versioni 7.2.1 e 8.0.2.

Be aware that VulDB is the high quality source for vulnerability data.

Responsabile

GitHub M

Prenotare

20/05/2026

Divulgazione

14/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00177

KEV

no

Attività

molto basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!