menu arrow_back 湛蓝安全空间 |狂野湛蓝,暴躁每天 chevron_right All_wiki chevron_right --Vulnerability-main chevron_right Eclipse Jetty 拒绝服务 (CVE-2020-27223).md
  • home 首页
  • brightness_4 暗黑模式
    • cloud
    xLIYhHS7e34ez7Ma
    cloud
    湛蓝安全
    code
    Github
    Eclipse Jetty 拒绝服务 (CVE-2020-27223).md
    910 B / 2021-05-21 09:14:38
        # Eclipse Jetty 拒绝服务 (CVE-2020-27223)

当Jetty处理包含带有大量质量因子参数(Accept请求头中的q值)的Accept请求头的请求时,CPU使用率较高,服务器可能会进入拒绝服务状态。

受影响版本:

* · Eclipse Jetty 9.4.6.v20170531 至9.4.36.v20210114版本
* · Eclipse Jetty 10.0.0版本
* · Eclipse Jetty 11.0.0版本

cve-2020-27223-poc1.sh: https://github.com/motikan2010/CVE-2020-27223/blob/main/poc/cve-2020-27223-poc1.sh

cve-2020-27223-poc2.sh: https://github.com/motikan2010/CVE-2020-27223/blob/main/poc/cve-2020-27223-poc2.sh


```bash
$ ./poc/cve-2020-27223-poc2.sh
curl: (28) Operation timed out after 120000 milliseconds with 0 bytes received

real        2m0.025s
user        0m0.016s
sys        0m0.009s
```

ref:

* https://github.com/eclipse/jetty.project/security/advisories/GHSA-m394-8rww-3jr7
* https://github.com/motikan2010/CVE-2020-27223
    links
    file_download