Vulnerabilidad en Jetty (CVE-2023-40167)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
15/09/2023
Última modificación:
13/10/2023
Descripción
Jetty es un servidor web y motor de servlet basado en Java. Antes de las versiones 9.4.52, 10.0.16, 11.0.16 y 12.0.1, Jetty acepta el carácter `+` que precede al valor de longitud del contenido en un campo de encabezado HTTP/1. Esto es más permisivo de lo que permite el RFC y otros servidores rechazan habitualmente este tipo de solicitudes con 400 respuestas. No se conoce ningún escenario de explotación, pero es posible que se produzca contrabando de solicitudes si se utiliza jetty en combinación con un servidor que no cierra la conexión después de enviar dicha respuesta 400. Las versiones 9.4.52, 10.0.16, 11.0.16 y 12.0.1 contienen un parche para este problema. No existe ningún workaround ya que no se conoce ningún escenario de explotación.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:eclipse:jetty:*:*:*:*:*:*:*:* | 9.0.0 (incluyendo) | 9.4.52 (excluyendo) |
| cpe:2.3:a:eclipse:jetty:*:*:*:*:*:*:*:* | 10.0.0 (incluyendo) | 10.0.16 (excluyendo) |
| cpe:2.3:a:eclipse:jetty:*:*:*:*:*:*:*:* | 11.0.0 (incluyendo) | 11.0.16 (excluyendo) |
| cpe:2.3:a:eclipse:jetty:12.0.0:-:*:*:*:*:*:* | ||
| cpe:2.3:a:eclipse:jetty:12.0.0:beta0:*:*:*:*:*:* | ||
| cpe:2.3:a:eclipse:jetty:12.0.0:beta1:*:*:*:*:*:* | ||
| cpe:2.3:a:eclipse:jetty:12.0.0:beta2:*:*:*:*:*:* | ||
| cpe:2.3:a:eclipse:jetty:12.0.0:beta3:*:*:*:*:*:* | ||
| cpe:2.3:a:eclipse:jetty:12.0.0:beta4:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:11.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:12.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página