CVE-2020-5249 in Puma Gem
요약
\~에 의해 VulDB • 2026. 05. 22.
Puma (RubyGem) 4.3.3 및 3.12.4 이전 버전에서 Puma를 사용하는 애플리케이션이 early-hints 헤더에 신뢰할 수 없는 입력을 허용하는 경우, 공격자가 캐리지 리턴 문자를 사용하여 헤더를 종료하고 추가 헤더나 완전히 새로운 응답 본문과 같은 악성 콘텐츠를 주입할 수 있습니다. 이 취약점은 HTTP 응답 분할(HTTP Response Splitting)로 알려져 있습니다. 이는 그 자체로 공격은 아니지만, 크로스 사이트 스크립팅(XSS) 등 여러 다른 공격의 벡터가 됩니다. 이는 이 취약점을 수정했지만 일반 응답에 대해서만 적용한 CVE-2020-5247과 관련이 있습니다. 이 문제는 4.3.3 및 3.12.4에서 수정되었습니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.