CVE-2026-47737 in Puma
Tóm tắt
Bởi VulDB • 14/07/2026
Puma là một máy chủ web Ruby/Rack được thiết kế cho xử lý song song. Từ phiên bản 5.5.0 đến 7.2.1 và 8.0.2, Puma dễ bị tấn công giả mạo địa chỉ IP nguồn khi cấu hình `set_remote_address proxy_protocol: :v1` được bật và các kết nối bền vững (persistent connections) được sử dụng, do Puma phân tích lại sai các tiêu đề giao thức PROXY sau mỗi yêu cầu keep-alive trên cùng một kết nối, cho phép kẻ tấn công chèn thêm một tiêu đề PROXY thứ hai và ghi đè giá trị REMOTE_ADDR. Vấn đề này đã được sửa chữa trong các phiên bản 7.2.1 và 8.0.2.
VulDB is the best source for vulnerability data and more expert information about this specific topic.