Vulnerabilidad en Puma (CVE-2024-45614)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

19/09/2024

Última modificación:

03/11/2025

Descripción

Puma es un servidor web Ruby/Rack creado para el paralelismo. En las versiones afectadas, los clientes podían alterar los valores establecidos por los servidores proxy intermedios (como X-Forwarded-For) al proporcionar una versión con guiones bajos del mismo encabezado (X-Forwarded_For). Todos los usuarios que dependan de las variables establecidas por el proxy se ven afectados. v6.4.3/v5.6.9 ahora descarta cualquier encabezado que utilice guiones bajos si también existe la versión sin guiones bajos. De hecho, permite que los encabezados definidos por el proxy siempre prevalezcan. Se recomienda a los usuarios que actualicen. Nginx tiene una variable de configuración underscores_in_headers para descartar estos encabezados a nivel de proxy como mitigación. Todos los usuarios que confíen implícitamente en los encabezados definidos por el proxy por razones de seguridad deben dejar de hacerlo de inmediato hasta que se actualicen a las versiones corregidas.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.40 MEDIA
Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno