V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
CVE-2023-40167
DEB
СреднийПодтвержденаЭксплойт есть

Jetty является сервером на основе Java и сервлетным движком. До версий 9.4.52, 10.0.16, 11.0.16 и 12.0.1 Jetty принимает символ `+` перед з…

CVSS
5.3
Средний
EPSS
0.01
p60
Опубликовано
2023-01-01
Обновлено
2023-01-01
Описание

Jetty является сервером на основе Java и сервлетным движком. До версий 9.4.52, 10.0.16, 11.0.16 и 12.0.1 Jetty принимает символ `+` перед значением content-length в заголовке HTTP/1. Это более разрешительно, чем разрешено RFC, и другие серверы обычно отвергают такие запросы с ответами 400. Известных сценариев эксплуатации нет, но можно предположить, что штурмование запросов может произойти, если jetty используется в сочетании с сервером, который не закрывает соединение после отправки такого ответа 400. Версии 9.4.52, 10.0.16, 11.0.16 и 12.0.1 содержат патч для этой проблемы. Нет обходных путей, так как известного сценария эксплуатации нет.

Теги · CWE
Без аутентификации
CWE-130
CAPEC-47
Затронутые продукты
Debian_linux
Вектор CVSS
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
Хронология
2023-01-01
Опубликована
2023-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: L
Низкая (L)
Требуемые привилегии
PR: N
Отсутствуют (N)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Область воздействия
S: U
Неизменная (U)
Воздействие на конфиденциальность
C: N
Отсутствует (N)
Воздействие на целостность
I: L
Низкое (L)
Воздействие на доступность
A: N
Отсутствует (N)
Индикаторы эксплуатации
EPSS
0.011 · p60
Известна эксплуатация (KEV)
Нет
Проверки Сканер-ВС
CVE-2023-40167
github-poc · https://github.com/uthrasri/Jetty-v9.4.31_CVE-2023-40167
Enterprise
Затронутые продукты
ПродуктВендорСтатус
candlepinОтслеживается
jenkinsОтслеживается
jetty9Отслеживается
jetty9Отслеживается
jetty9Отслеживается
jetty9Отслеживается
jetty9Отслеживается
jetty9Отслеживается
jetty9Отслеживается
jetty9Отслеживается
jetty9Отслеживается
jetty9Отслеживается
jetty9Отслеживается
jetty9Отслеживается
puppetserverОтслеживается
puppetserverОтслеживается
debian_linux*Отслеживается
jetty*Отслеживается
Источники данных
DEB
CVE
RED
UBU
Связанные уязвимости