一、 漏洞 CVE-2022-24790 基础信息
漏洞标题
HTTP请求偷逃
来源:AIGC 神龙大模型
漏洞描述信息
Puma中的HTTP请求混装
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
HTTP Request Smuggling in puma
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Puma is a simple, fast, multi-threaded, parallel HTTP 1.1 server for Ruby/Rack applications. When using Puma behind a proxy that does not properly validate that the incoming HTTP request matches the RFC7230 standard, Puma and the frontend proxy may disagree on where a request starts and ends. This would allow requests to be smuggled via the front-end proxy to Puma. The vulnerability has been fixed in 5.6.4 and 4.3.12. Users are advised to upgrade as soon as possible. Workaround: when deploying a proxy in front of Puma, turning on any and all functionality to make sure that the request matches the RFC7230 standard.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
HTTP请求的解释不一致性(HTTP请求私运)
来源:美国国家漏洞数据库 NVD
漏洞标题
Puma 环境问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Puma是美国Evan Phoenix个人开发者的一款针对高并发应用的Web服务器。 Puma 存在环境问题漏洞,该漏洞源于当在未正确验证传入 HTTP 请求是否符合 RFC7230 标准的代理后面使用 Puma 时,Puma 和前端代理可能会在请求开始和结束的位置上存在分歧。 这将允许通过前端代理将请求走私到 Puma。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
环境问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2022-24790 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2022-24790 的情报信息