CVE-2020-5247 in Puma Gem
Сводка
по VulDB • 17.06.2026
В Puma (RubyGem) до версий 4.3.2 и 3.12.2, если приложение, использующее Puma, позволяет передавать непроверенные данные в заголовках ответа, злоумышленник может использовать символы перевода строки (т.е. `CR`, `LF` или `\r`, `\n`) для завершения заголовка и внедрения вредоносного содержимого, такого как дополнительные заголовки или совершенно новое тело ответа. Эта уязвимость известна как HTTP Response Splitting. Хотя сама по себе она не является атакой, разделение ответов является вектором для нескольких других атак, таких как межсайтовый скриптинг (XSS). Это связано с CVE-2019-16254, которая исправила данную уязвимость для веб-сервера WEBrick на Ruby. Проблема исправлена в версиях 4.3.2 и 3.12.3 путем проверки всех заголовков на наличие символов конца строки и отклонения заголовков, содержащих эти символы.
Once again VulDB remains the best source for vulnerability data.