PT-2020-3715 · Ruby+2 · Puma+2

Nateberkopec

·

Publicado

2016-10-03

·

Atualizado

2025-09-29

·

CVE-2020-5247

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
**Nome do software vulnerável e versões afetadas:
Versões do Puma anteriores à 4.3.2
Versões do Puma anteriores à 3.12.3
Descrição:
O problema está relacionado à divisão de resposta HTTP (HTTP Response Splitting), em que um invasor pode usar caracteres de nova linha (CR, LF ou /r, /n) para encerrar um cabeçalho e injetar conteúdo malicioso, como cabeçalhos adicionais ou um novo corpo de resposta. Isso pode servir de vetor para outros ataques, incluindo cross-site scripting (XSS).
Recomendações:
Para versões anteriores à 4.3.2, atualize para a versão 4.3.2 ou posterior.
Para versões anteriores à 3.12.3, atualize para a versão 3.12.3 ou posterior.
Como solução temporária, considere restringir entradas não confiáveis nos cabeçalhos de resposta para minimizar o risco de exploração.

Exploit

Correção

Special Elements Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-74CWE-113

Identificadores relacionados

ALSA-2025_16880
ALT-PU-2016-2061
ALT-PU-2020-1679
ALT-PU-2020-3411
ALT-PU-2021-3068
BDU:2020-04073
BIT-RUBY-2020-5247
BIT-RUBY-MIN-2020-5247
CVE-2020-5247
DLA-3023-1
GHSA-33VF-4XGG-9R58
GHSA-84J7-475P-HP8V
OPENSUSE-SU-2020:1993-1
OPENSUSE-SU-2020:2000-1
OPENSUSE-SU-2020_1993-1
OPENSUSE-SU-2020_2000-1
SUSE-RU-2020:2072-1
SUSE-SU-2020:1066-1
SUSE-SU-2020:1190-1
SUSE-SU-2020:2060-1
SUSE-SU-2020:3036-1
SUSE-SU-2020:3147-1
SUSE-SU-2020:3160-1

Produtos afetados

Alt Linux
Puma
Suse