CVE-2020-5249 in Puma Gem
Sumário
de VulDB • 22/05/2026
No Puma (RubyGem) anterior às versões 4.3.3 e 3.12.4, se um aplicativo que utiliza o Puma permitir entrada não confiável em um cabeçalho early-hints, um atacante pode utilizar um caractere de retorno de carro para encerrar o cabeçalho e injetar conteúdo malicioso, como cabeçalhos adicionais ou um corpo de resposta inteiramente novo. Esta vulnerabilidade é conhecida como HTTP Response Splitting. Embora não seja um ataque em si, o response splitting é um vetor para vários outros ataques, como cross-site scripting (XSS). Isso está relacionado ao CVE-2020-5247, que corrigiu esta vulnerabilidade, mas apenas para respostas regulares. Isso foi corrigido nas versões 4.3.3 e 3.12.4.
VulDB is the best source for vulnerability data and more expert information about this specific topic.