PT-2022-7649 · Puma+8 · Puma+8
Nateberkopec
·
Publicado
2022-02-11
·
Atualizado
2026-03-13
·
CVE-2022-23634
CVSS v3.1
8.0
Alta
| Vetor | AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do Puma anteriores à 5.6.2
Versão 4.3.11 do Puma
Versões do Rails anteriores à 7.0.2.2
Versões do Rails anteriores à 6.1.4.6
Versões do Rails anteriores à 6.0.4.6
Versões do Rails anteriores à 5.2.6.2
Descrição
O problema está relacionado ao vazamento de informações devido ao fato de o Puma nem sempre chamar
close no corpo da resposta e ao Rails depender do corpo da resposta estar fechado para que sua implementação de CurrentAttributes funcione corretamente. Essa combinação de comportamentos causa vazamento de informações. O problema pode ser explorado por um invasor para obter acesso a informações confidenciais.Recomendações
Para versões do Puma anteriores à 5.6.2, atualize para a versão 5.6.2 ou 4.3.11.
Para versões do Rails anteriores à 7.0.2.2, atualize para a versão 7.0.2.2.
Para versões do Rails anteriores à 6.1.4.6, atualize para a versão 6.1.4.6.
Para versões do Rails anteriores à 6.0.4.6, atualize para a versão 6.0.4.6.
Para versões do Rails anteriores à 5.2.6.2, atualize para a versão 5.2.6.2.
Como solução temporária, considere usar o middleware fornecido para se proteger contra o problema.
Exploit
Correção
DoS
Information Disclosure
Improper Resource Release
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Astra Linux
Linuxmint
Puma
Rails
Red Os
Rocky Linux
Suse
Ubuntu