PT-2020-3713 · Ruby+4 · Puma+4

Zeddyu

·

Publicado

2020-05-22

·

Atualizado

2026-03-13

·

CVE-2020-11076

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:C/A:N
**Nome do software vulnerável e versões afetadas:
Versões do Puma anteriores à 3.12.5
Versões do Puma anteriores à 4.3.4
Descrição:
O problema está relacionado ao tratamento de solicitações HTTP no Puma, um RubyGem para aplicações Ruby/Rack. Um invasor poderia injetar uma resposta HTTP utilizando um cabeçalho transfer-encoding inválido, permitindo potencialmente que um invasor remoto comprometesse a integridade das informações. O problema foi corrigido no Puma 3.12.5 e no Puma 4.3.4.
Recomendações:
Para versões do Puma anteriores à 3.12.5, atualize para a versão 3.12.5 para resolver o problema.
Para versões do Puma anteriores à 4.3.4, atualize para a versão 4.3.4 para resolver o problema.

Exploit

Correção

HTTP Request/Response Smuggling

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-444

Identificadores relacionados

ALT-PU-2021-2596
ALT-PU-2023-4271
ALT-PU-2024-7817
BDU:2020-04071
CVE-2020-11076
DLA-2398-1
GHSA-X7JG-6PWG-FX5H
OESA-2021-1169
OPENSUSE-SU-2020:0990-1
OPENSUSE-SU-2020:1001-1
OPENSUSE-SU-2020:1993-1
OPENSUSE-SU-2020:2000-1
OPENSUSE-SU-2020_0990-1
OPENSUSE-SU-2020_1001-1
OPENSUSE-SU-2020_1993-1
OPENSUSE-SU-2020_2000-1
OPENSUSE-SU-2024:10589-1
OPENSUSE-SU-2024:11342-1
OPENSUSE-SU-2024:11343-1
OPENSUSE-SU-2024:11830-1
OPENSUSE-SU-2024:11847-1
OPENSUSE-SU-2024:12592-1
OPENSUSE-SU-2024:12900-1
OPENSUSE-SU-2024:13166-1
OPENSUSE-SU-2024:13720-1
OPENSUSE-SU-2024:13721-1
OPENSUSE-SU-2025:15123-1
OPENSUSE-SU-2026:10357-1
SUSE-RU-2020:2072-1
SUSE-SU-2020:1901-1
SUSE-SU-2020:1919-1
SUSE-SU-2020:2060-1
SUSE-SU-2020:3036-1
SUSE-SU-2020:3147-1
SUSE-SU-2020:3160-1
SUSE-SU-2020_1919-1
USN-6682-1

Produtos afetados

Alt Linux
Linuxmint
Puma
Suse
Ubuntu