CVE-2020-5249 in Puma Geminformação

Sumário

de VulDB • 22/05/2026

No Puma (RubyGem) anterior às versões 4.3.3 e 3.12.4, se um aplicativo que utiliza o Puma permitir entrada não confiável em um cabeçalho early-hints, um atacante pode utilizar um caractere de retorno de carro para encerrar o cabeçalho e injetar conteúdo malicioso, como cabeçalhos adicionais ou um corpo de resposta inteiramente novo. Esta vulnerabilidade é conhecida como HTTP Response Splitting. Embora não seja um ataque em si, o response splitting é um vetor para vários outros ataques, como cross-site scripting (XSS). Isso está relacionado ao CVE-2020-5247, que corrigiu esta vulnerabilidade, mas apenas para respostas regulares. Isso foi corrigido nas versões 4.3.3 e 3.12.4.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsável

GitHub, Inc.

Reservar

02/01/2020

Moderação

aceite

Entrada

VDB-150816

CPE

pronto

EPSS

0.01571

KEV

não

Atividades

muito baixo

Fontes

Do you need the next level of professionalism?

Upgrade your account now!