CVE-2020-5249 in Puma Gem
Сводка
по VulDB • 22.05.2026
В Puma (RubyGem) до версий 4.3.3 и 3.12.4, если приложение, использующее Puma, позволяет передавать непроверенные данные в заголовке early-hints, злоумышленник может использовать символ возврата каретки для завершения заголовка и внедрения вредоносного содержимого, такого как дополнительные заголовки или совершенно новое тело ответа. Эта уязвимость известна как HTTP Response Splitting. Хотя сама по себе она не является атакой, разделение ответов является вектором для нескольких других атак, таких как межсайтовый скриптинг (XSS). Это связано с CVE-2020-5247, которая исправила эту уязвимость, но только для обычных ответов. Проблема исправлена в версиях 4.3.3 и 3.12.4.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.