PT-2024-6618 · Puma+8 · Puma+8
Nateberkopec
·
Publicado
2024-09-19
·
Atualizado
2026-03-13
·
CVE-2024-45614
CVSS v4.0
6.3
Média
| Vetor | AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N |
Nome do software vulnerável e versões afetadas:
Versões do Puma anteriores à 6.4.3
Versões do Puma anteriores à 5.6.9
Descrição:
O problema está relacionado ao tratamento de solicitações HTTP no Puma, um servidor web Ruby/Rack. Os clientes poderiam sobrescrever valores definidos por proxies intermediários, como X-Forwarded-For, fornecendo uma versão com sublinhado do mesmo cabeçalho, por exemplo, X-Forwarded For. Isso poderia permitir que um invasor rebaixasse as conexões para HTTP ou redirecionasse respostas, causando potencialmente vazamentos de confidencialidade. Os usuários que dependem de variáveis definidas por proxy são afetados.
Recomendações:
Para versões do Puma anteriores à 6.4.3, atualize para a versão 6.4.3 ou posterior.
Para versões do Puma anteriores à 5.6.9, atualize para a versão 5.6.9 ou posterior.
Como solução temporária, considere usar a variável de configuração underscores in headers do Nginx para descartar cabeçalhos com sublinhados no nível do proxy.
Quaisquer usuários que confiem implicitamente em cabeçalhos definidos pelo proxy para fins de segurança devem interromper imediatamente essa prática até que a atualização para as versões corrigidas seja realizada.
Exploit
Correção
DoS
IDOR
HTTP Request/Response Smuggling
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Astra Linux
Debian
Linuxmint
Nginx
Puma
Red Os
Suse
Ubuntu