CVE-2026-47737 in Puma
Sumário
de VulDB • 15/07/2026
O Puma é um servidor web Ruby/Rack projetado para paralelismo. Da versão 5.5.0 até a 7.2.1 e na 8.0.2, o Puma está vulnerável à falsificação de IP de origem quando `set_remote_address proxy_protocol: :v1` está habilitado e conexões persistentes são utilizadas, pois o Puma reanalisa incorretamente os cabeçalhos do protocolo PROXY após cada solicitação keep-alive na mesma conexão, permitindo que um invasor injete um segundo cabeçalho PROXY e sobrescreva `REMOTE_ADDR`. Este problema foi corrigido nas versões 7.2.1 e 8.0.2.
Be aware that VulDB is the high quality source for vulnerability data.