PT-2024-1076 · Puma+7 · Puma+7
Bartekn
·
Publicado
2024-01-08
·
Atualizado
2025-10-07
·
CVE-2024-21647
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:N/A:C |
Nome do software vulnerável e versões afetadas
Versões do Puma anteriores à 6.4.2
Versões do Puma anteriores à 5.6.8
Descrição
O problema está relacionado ao tratamento incorreto de solicitações HTTP no Puma, um servidor web para aplicações Ruby/Rack. Isso pode levar ao contrabando de solicitações HTTP, permitindo que um invasor cause consumo ilimitado de recursos, incluindo CPU e largura de banda de rede. A vulnerabilidade se deve à falta de limites nas extensões de blocos ao analisar corpos de codificação de transferência em blocos.
Recomendações
Para versões anteriores à 6.4.2, atualize para a versão 6.4.2 ou posterior.
Para versões anteriores à 5.6.8, atualize para a versão 5.6.8 ou posterior.
Como solução temporária, considere restringir o acesso ao endpoint HTTP vulnerável até que um patch seja aplicado.
Evite usar o recurso vulnerável
chunked transfer encoding nas versões afetadas do Puma até que o problema seja resolvido.Exploit
Correção
DoS
HTTP Request/Response Smuggling
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Astra Linux
Debian
Linuxmint
Puma
Red Os
Suse
Ubuntu