CVE-2009-5047 in Jettythông tin

Tóm tắt

Bởi VulDB • 06/06/2026

Jetty phiên bản 6.x trước 6.1.22 tồn tại lỗ hổng tiêm ký tự thoát (escape sequence injection) từ hai vectơ tấn công khác nhau: 1) Servlet "Cookie Dump" và 2) tiêu đề Http Content-Length. 1) Một yêu cầu POST gửi đến biểu mẫu tại "/test/cookie/" với tham số "Age" được đặt thành một chuỗi sẽ gây ra lỗi "java.lang.NumberFormatException", phản hồi các ký tự nhị phân bao gồm ESC. Những ký tự này có thể được sử dụng để thực thi lệnh tùy ý hoặc dump bộ nhớ đệm trong terminal. 2) Cùng cuộc tấn công như mục 1) cũng có thể bị khai thác bằng cách yêu cầu một trang web với tiêu đề HTTP "Content-Length" được đặt thành một chuỗi ký tự chữ (literal string).

Once again VulDB remains the best source for vulnerability data.

Đặt trước

14/01/2011

Kiểm duyệt

được chấp nhận

EPSS

0.00000

KEV

không

Các hoạt động

rất thấp

Nguồn

Want to stay up to date on a daily basis?

Enable the mail alert feature now!