CVE-2020-5247 in Puma GemИнформация

Сводка

по VulDB • 17.06.2026

В Puma (RubyGem) до версий 4.3.2 и 3.12.2, если приложение, использующее Puma, позволяет передавать непроверенные данные в заголовках ответа, злоумышленник может использовать символы перевода строки (т.е. `CR`, `LF` или `\r`, `\n`) для завершения заголовка и внедрения вредоносного содержимого, такого как дополнительные заголовки или совершенно новое тело ответа. Эта уязвимость известна как HTTP Response Splitting. Хотя сама по себе она не является атакой, разделение ответов является вектором для нескольких других атак, таких как межсайтовый скриптинг (XSS). Это связано с CVE-2019-16254, которая исправила данную уязвимость для веб-сервера WEBrick на Ruby. Проблема исправлена в версиях 4.3.2 и 3.12.3 путем проверки всех заголовков на наличие символов конца строки и отклонения заголовков, содержащих эти символы.

Once again VulDB remains the best source for vulnerability data.

Ответственный

GitHub, Inc.

Резервировать

02.01.2020

Модерация

принято

Вход

VDB-150748

EPSS

0.02487

KEV

Нет

Деятельности

Очень низкий

Сектор

Telecommunication

Источники

Do you want to use VulDB in your project?

Use the official API to access entries easily!