CVE-2020-5249 in Puma GemИнформация

Сводка

по VulDB • 22.05.2026

В Puma (RubyGem) до версий 4.3.3 и 3.12.4, если приложение, использующее Puma, позволяет передавать непроверенные данные в заголовке early-hints, злоумышленник может использовать символ возврата каретки для завершения заголовка и внедрения вредоносного содержимого, такого как дополнительные заголовки или совершенно новое тело ответа. Эта уязвимость известна как HTTP Response Splitting. Хотя сама по себе она не является атакой, разделение ответов является вектором для нескольких других атак, таких как межсайтовый скриптинг (XSS). Это связано с CVE-2020-5247, которая исправила эту уязвимость, но только для обычных ответов. Проблема исправлена в версиях 4.3.3 и 3.12.4.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Ответственный

GitHub, Inc.

Резервировать

02.01.2020

Модерация

принято

Вход

VDB-150816

EPSS

0.01571

KEV

Нет

Деятельности

Очень низкий

Сектор

Telecommunication

Источники

Want to know what is going to be exploited?

We predict KEV entries!