Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Puma y Rails (CVE-2022-23634)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-404 Apagado o liberación incorrecto de recursos
Fecha de publicación:
11/02/2022
Última modificación:
07/11/2023

Descripción

Puma es un servidor web Ruby/Rack construido para el paralelismo. versiones anteriores a "puma" "5.6.2", "puma" no siempre llamaba a "close" en el cuerpo de la respuesta. Rails, versiones anteriores a "7.0.2.2", dependía de que el cuerpo de la respuesta estuviera cerrado para que su implementación de "CurrentAttributes" funcionara correctamente. La combinación de estos dos comportamientos (que Puma no cierre el cuerpo + la implementación del ejecutor de Rails) causa un filtrado de información. Este problema ha sido solucionado en Puma versiones 5.6.2 y 4.3.11. Este problema se ha solucionado en las versiones de Rails versiones 7.02.2, 6.1.4.6, 6.0.4.6 y 5.2.6.2. La actualización a una versión parcheada de Rails _o_ de Puma corrige esta vulnerabilidad

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:puma:puma:*:*:*:*:*:ruby:*:* 4.3.11 (excluyendo)
cpe:2.3:a:puma:puma:*:*:*:*:*:ruby:*:* 5.0.0 (incluyendo) 5.6.2 (excluyendo)
cpe:2.3:a:rubyonrails:rails:*:*:*:*:*:*:*:* 5.0.0 (incluyendo) 5.2.6.2 (excluyendo)
cpe:2.3:a:rubyonrails:rails:*:*:*:*:*:*:*:* 6.0.0 (incluyendo) 6.0.4.6 (excluyendo)
cpe:2.3:a:rubyonrails:rails:*:*:*:*:*:*:*:* 6.1.0 (incluyendo) 6.1.4.6 (excluyendo)
cpe:2.3:a:rubyonrails:rails:*:*:*:*:*:*:*:* 7.0.0 (incluyendo) 7.0.2.2 (excluyendo)
cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:11.0:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:35:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:36:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:37:*:*:*:*:*:*:*