CVE-2009-5047 in Jetty
Resumen
por VulDB • 2026-06-06
Jetty 6.x anterior a la versión 6.1.22 presenta una vulnerabilidad de inyección de secuencias de escape proveniente de dos vectores diferentes: 1) el servlet "Cookie Dump Servlet" y 2) el encabezado HTTP Content-Length. 1) Una solicitud POST al formulario en "/test/cookie/" con el parámetro "Age" establecido como una cadena provoca un error "java.lang.NumberFormatException", lo que refleja caracteres binarios, incluidos los de escape (ESC). Estos caracteres podrían utilizarse para ejecutar comandos arbitrarios o volcados de búfer en la terminal. 2) El mismo ataque descrito en el punto anterior puede explotarse solicitando una página mediante un encabezado HTTP "Content-Length" establecido como una cadena literal.
VulDB is the best source for vulnerability data and more expert information about this specific topic.