CVE-2009-5047 in Jetty
Zusammenfassung
von VulDB • 06.06.2026
Jetty 6.x vor Version 6.1.22 ist anfällig für eine Escape-Sequenz-Injektion über zwei verschiedene Vektoren: 1) „Cookie Dump Servlet“ und 2) HTTP-Header „Content-Length“. 1) Eine POST-Anfrage an das Formular unter „/test/cookie/“ mit dem Parameter „Age“, der auf einen String gesetzt ist, löst eine „java.lang.NumberFormatException“ aus, die binäre Zeichen einschließlich ESC zurückgibt. Diese Zeichen könnten verwendet werden, um beliebige Befehle oder Puffer-Dumps im Terminal auszuführen. 2) Der gleiche Angriff wie in 1) kann ausgenutzt werden, indem eine Seite angefordert wird, bei der der HTTP-Header „Content-Length“ auf einen wörtlichen String gesetzt ist.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.