Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Jetty (CVE-2023-40167)

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
15/09/2023
Última modificación:
13/10/2023

Descripción

Jetty es un servidor web y motor de servlet basado en Java. Antes de las versiones 9.4.52, 10.0.16, 11.0.16 y 12.0.1, Jetty acepta el carácter `+` que precede al valor de longitud del contenido en un campo de encabezado HTTP/1. Esto es más permisivo de lo que permite el RFC y otros servidores rechazan habitualmente este tipo de solicitudes con 400 respuestas. No se conoce ningún escenario de explotación, pero es posible que se produzca contrabando de solicitudes si se utiliza jetty en combinación con un servidor que no cierra la conexión después de enviar dicha respuesta 400. Las versiones 9.4.52, 10.0.16, 11.0.16 y 12.0.1 contienen un parche para este problema. No existe ningún workaround ya que no se conoce ningún escenario de explotación.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:eclipse:jetty:*:*:*:*:*:*:*:* 9.0.0 (incluyendo) 9.4.52 (excluyendo)
cpe:2.3:a:eclipse:jetty:*:*:*:*:*:*:*:* 10.0.0 (incluyendo) 10.0.16 (excluyendo)
cpe:2.3:a:eclipse:jetty:*:*:*:*:*:*:*:* 11.0.0 (incluyendo) 11.0.16 (excluyendo)
cpe:2.3:a:eclipse:jetty:12.0.0:-:*:*:*:*:*:*
cpe:2.3:a:eclipse:jetty:12.0.0:beta0:*:*:*:*:*:*
cpe:2.3:a:eclipse:jetty:12.0.0:beta1:*:*:*:*:*:*
cpe:2.3:a:eclipse:jetty:12.0.0:beta2:*:*:*:*:*:*
cpe:2.3:a:eclipse:jetty:12.0.0:beta3:*:*:*:*:*:*
cpe:2.3:a:eclipse:jetty:12.0.0:beta4:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:11.0:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:12.0:*:*:*:*:*:*:*