Dans Puma (rubygem) avant 4.3.2 et 3.12.3 avant, si une application utilisant Puma permet l’entrée non sécurisé dans un en-tête de réponse, un attaquant peut utiliser des caractères de saut de ligne (par exemple `CR`,` LF` or` / r`, ` / n`) pour mettre fin à l’en-tête et d’injecter un contenu malveillant, tels que des en-têtes supplémentaires ou un corps de réponse entièrement nouvelle. Cette vulnérabilité est connue sous le nom Fractionnement de réponse HTTP. Bien que pas une attaque en elle-même, le fractionnement de réponse est un vecteur pour plusieurs autres attaques, telles que scripts inter-sites (XSS). Ceci est lié à CVE-2019-16254, qui a fixé cette vulnérabilité pour le serveur Web WEBrick Ruby. Ceci a été corrigé dans les versions 4.3.2 et 3.12.3 en vérifiant tous les en-têtes pour les fins de ligne et en rejetant les en-têtes avec ces personnages.
https://github.com/puma/puma/security/advisories/GHSA-84j7-475p-hp8v
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/DIHVO3CQMU7BZC7FCTSRJ33YDNS3GFPK/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/NJ3LL5F5QADB6LM46GXZETREAKZMQNRD/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BMJ3CGZ3DLBJ5WUUKMI5ZFXFJQMXJZIK/
https://owasp.org/www-community/attacks/HTTP_Response_Splitting
https://www.ruby-lang.org/en/news/2019/10/01/http-response-splitting-in-webrick-cve-2019-16254
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5247
