GHSA-jg2x-r643-w2ch

Опубликовано: 01 мая 2022

Источник: github

Github: Прошло ревью

Описание

Jetty Uses Predictable Session Identifiers

Jetty before 4.2.27, 5.1 before 5.1.12, 6.0 before 6.0.2, and 6.1 before 6.1.0pre3 generates predictable session identifiers using java.util.random, which makes it easier for remote attackers to guess a session identifier through brute force attacks, bypass authentication requirements, and possibly conduct cross-site request forgery attacks.

Ссылки

Пакеты

Наименование

org.eclipse.jetty:jetty-server

maven

Затронутые версииВерсия исправления

< 4.2.27

4.2.27

Наименование

org.eclipse.jetty:jetty-server

maven

Затронутые версииВерсия исправления

>= 5.1.0, < 5.1.12

5.1.12

Наименование

org.eclipse.jetty:jetty-server

maven

Затронутые версииВерсия исправления

>= 6.0.0, < 6.0.2

6.0.2

Наименование

org.eclipse.jetty:jetty-server

maven

Затронутые версииВерсия исправления

>= 6.1.0pre1, < 6.1.0pre3

6.1.0pre3

EPSS

Процентиль: 70%

0.0064

Низкий

CVE ID

CVE-2006-6969

Дефекты

CWE-330

Связанные уязвимости

CVE-2006-6969

CVSS3: 4.8

redhat

почти 19 лет назад

CVE-2006-6969

nvd

больше 18 лет назад

CVE-2006-6969

debian

больше 18 лет назад

Jetty before 4.2.27, 5.1 before 5.1.12, 6.0 before 6.0.2, and 6.1 befo ...

EPSS

Процентиль: 70%

0.0064

Низкий

CVE ID

CVE-2006-6969

Дефекты

CWE-330