← voltar
CVE-2020-27223

CVE-2020-27223

CVSS 5.2 MEDIUMEPSS 78.0%CWE-407
Em resumo

Servidores Eclipse Jetty podem ser forçados a consumir CPU excessivamente ao processar requisições HTTP com múltiplos cabeçalhos Accept contendo muitos parâmetros de qualidade. Atacantes podem causar indisponibilidade do serviço esgotando recursos.

Detalhe técnico

Falha de complexidade algorítmica (CWE-407) no Jetty versões 9.4.6 até 9.4.36, 10.0.0 e 11.0.0 permite que atacantes remotos disparem exploração de complexidade via requisições HTTP malformadas com múltiplos cabeçalhos Accept contendo numerosos parâmetros de qualidade (q), resultando em consumo prolongado de CPU.

Resumo gerado e traduzido por IA a partir da descrição oficial.
In Eclipse Jetty 9.4.6.v20170531 to 9.4.36.v20210114 (inclusive), 10.0.0, and 11.0.0 when Jetty handles a request containing multiple Accept headers with a large number of “quality” (i.e. q) parameters, the server may enter a denial of service (DoS) state due to high CPU usage processing those quality values, resulting in minutes of CPU time exhausted processing those quality values.
CVSS:3.1/AV:A/AC:L/PR:L/UI:R/S:U/C:N/I:N/A:H
Produtos afetados
The Eclipse Foundation · Eclipse Jetty

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://bugs.eclipse.org/bugs/show_bug.cgi?id=571128https://github.com/eclipse/jetty.project/security/advisories/GHSA-m394-8rww-3jr7https://github.com/jetty/jetty.project/commit/10e531756b972162eed402c44d0244f7f6b85131https://lists.apache.org/thread.html/r068dfd35ce2193f6af28b74ff29ab148c2b2cacb235995576f5bea78%40%3Cissues.solr.apache.org%3Ehttps://lists.apache.org/thread.html/r07aedcb1ece62969c406cb84c8f0e22cec7e42cdc272f3176e473320%40%3Cusers.solr.apache.org%3Ehttps://lists.apache.org/thread.html/r0b639bd9bfaea265022125d18acd2fc6456044b76609ec74772c9567%40%3Cissues.zookeeper.apache.org%3Ehttps://lists.apache.org/thread.html/r0c6eced465950743f3041b03767a32b2e98d19731bd72277fc7ea428%40%3Ccommits.zookeeper.apache.org%3Ehttps://lists.apache.org/thread.html/r0cdab13815fc419805a332278c8d27e354e78560944fc36db0bdc760%40%3Cnotifications.zookeeper.apache.org%3Ehttps://lists.apache.org/thread.html/r0e25cdf3722a24c53049d37396f0da8502cb4b7cdc481650dc601dbc%40%3Cgitbox.activemq.apache.org%3Ehttps://lists.apache.org/thread.html/r105f4e52feb051faeb9141ef78f909aaf5129d6ed1fc52e099c79463%40%3Cissues.spark.apache.org%3Ehttps://lists.apache.org/thread.html/r1414ab2b3f4bb4c0e736caff6dc8d15f93f6264f0cca5c47710d7bb3%40%3Creviews.spark.apache.org%3Ehttps://lists.apache.org/thread.html/r1b7ed296a865e3f1337a96ee9cd51f6d154d881a30da36020ca72a4b%40%3Cjira.kafka.apache.org%3E