CVE-2020-5249 in Puma Gem
要約
〜によって VulDB • 2026年05月22日
Puma (RubyGem) の 4.3.3 および 3.12.4 より前のバージョンでは、Puma を使用するアプリケーションが早期応答ヘッダーに信頼できない入力を受け入れる場合、攻撃者はキャリッジリターン文字を使用してヘッダーを終了し、追加のヘッダーや完全に新しいレスポンスボディなどの悪意のあるコンテンツを注入することができます。この脆弱性は HTTP レスポンススプリッティングとして知られています。これ自体は攻撃ではありませんが、レスポンススプリッティングはクロスサイトスクリプティング (XSS) など、他のいくつかの攻撃のベクターとなります。これは CVE-2020-5247 に関連しており、この脆弱性は通常のレスポンスに対してのみ修正されました。この問題は 4.3.3 および 3.12.4 で修正されています。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.