返回
详细信息
漏洞信息
影响产品
解决方案
漏洞描述
Jetty 是一个轻量级、高度可扩展的基于 java 的 Web 服务器和 servlet 引擎。
Jetty对带引号的Cookie值的解析不符合标准,可能导致攻击者在其他Cookie中走私Cookie,或者通过篡改Cookie解析机制造成意外的行为
漏洞危害
如果某个Cookie(比如JSESSIONID)是HttpOnly的,而另一个Cookie(比如DISPLAY_LANGUAGE)的值会被渲染在页面上,那么攻击者可以将JSESSIONID Cookie走私到DISPLAY_LANGUAGE Cookie中,从而窃取它。这在中间人对Cookie进行一些策略时很重要,因为一个走私的Cookie可以绕过那些策略,但仍然可以被Jetty服务器或其日志系统看到
TVPR 关键指标
5.3
相关情报信息
- Eclipse Jetty权限绕过漏洞
2021-12-09 17:11:35 - Eclipse Jetty存在任意文件下载漏洞2021-12-09 10:44:34
- Jetty 通用 Servlets 组件 ConcatServlet 信息泄露漏洞(CVE-2021-28169)2021-06-09 00:00:00
- Eclipse Jetty 资源管理错误漏洞2021-04-02 00:00:00
- Eclipse Jetty 后置链接漏洞2021-04-01 00:00:00
- Eclipse Jetty拒绝服务漏洞2021-02-27 00:00:00
- Eclipse Jetty信息泄露漏洞2020-11-28 00:00:00
- Eclipse Jetty创建具有不安全权限的临时文件漏洞2020-10-24 00:00:00
- Eclipse Jetty Error Response 跨站脚本攻击2019-11-26 00:00:00
- Eclipse Jetty代码执行漏洞2019-11-16 00:00:00
- Eclipse Jetty 信息泄露漏洞2019-11-07 00:00:00
- Eclipse Jetty 信息泄露漏洞2019-11-07 00:00:00
- Eclipse Jetty 跨站脚本漏洞2019-11-07 00:00:00
- Eclipse Jetty 信息泄露漏洞2019-04-23 00:00:00
- Eclipse Jetty 跨站脚本漏洞2019-04-23 00:00:00
- Oracle Communications Session Report Manager 8.0.0/8.1.0/8.1.1/8.2.0 Core 信息泄漏漏洞2019-04-23 00:00:00
- Eclipse Jetty 9.3.x/9.4.x SETTING Frame 拒绝服务漏洞2019-03-28 00:00:00
- Eclipse Jetty Server信息泄露漏洞2018-06-28 00:00:00
- 使用范围标头进行HTTP请求走私2018-06-27 00:00:00
- Eclipse Jetty Server 环境问题漏洞2018-06-27 00:00:00
- Eclipse Jetty整数溢出漏洞2018-06-27 00:00:00
- Eclipse Jetty权限提升漏洞2018-06-23 00:00:00
- Jetty权限获取漏洞2017-04-14 00:00:00
- Jetty 敏感信息泄露漏洞(CVE-2015-2080)2016-10-08 00:00:00
- Oracle Endeca Information Discovery Studio 3.1/3.2 加密问题漏洞2011-12-30 00:00:00
时间轴
- 2023-04-18 21:15:00斗象应急响应团队对外发布安全通告
扫一扫订阅