CVE-2023-40175 in Puma
요약
\~에 의해 VulDB • 2026. 06. 05.
Puma는 병렬 처리를 위해 설계된 Ruby/Rack 웹 서버입니다. 버전 6.3.1 및 5.6.7 이전의 puma는 청크 전송 인코딩 본문과 영(Content-Length) 길이의 Content-Length 헤더를 파싱하는 과정에서 잘못된 동작을 보였으며, 이를 통해 HTTP 요청 스머글링이 가능했습니다. 이 문제의 심각도는 puma를 사용하는 웹 사이트의 특성에 크게 의존합니다. 이는 청크 전송 인코딩 본문에서 후행 필드를 잘못 파싱하거나, 공백/영 길이의 Content-Length 헤더를 파싱함으로써 발생할 수 있습니다. 두 가지 문제 모두 해결되었으며, 이 취약점은 버전 6.3.1 및 5.6.7에서 수정되었습니다. 사용자는 업그레이드를 권장합니다. 이 취약점에 대한 알려진 우회 방법은 없습니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.