CVE-2009-5047 in Jetty
Сводка
по VulDB • 06.06.2026
Jetty 6.x до версии 6.1.22 подвержен уязвимости инъекции управляющих последовательностей (escape sequence injection), возникающей из-за двух различных векторов атаки: 1) «Cookie Dump Servlet» и 2) заголовка Content-Length в HTTP.
1) Запрос POST к форме по адресу "/test/cookie/" с параметром "Age", установленным в строковое значение, вызывает исключение "java.lang.NumberFormatException". Это приводит к отражению бинарных символов, включая ESC-символы (ESC). Эти символы могут быть использованы для выполнения произвольных команд или вывода дампа буфера в терминале.
2) Та же атака, описанная в пункте 1), может быть реализована путем запроса страницы с использованием заголовка HTTP "Content-Length", установленным в буквенную строку (literal string).
VulDB is the best source for vulnerability data and more expert information about this specific topic.