发布日期：2018-06-27
更新日期：2020-09-16

受影响系统：

Eclipse Jetty <= 9.2.x
Eclipse Jetty 9.4.x
Eclipse Jetty 9.3.x

描述：

---

CVE(CAN) ID: CVE-2017-7657

Eclipse Jetty是Eclipse基金会的一个开源的、基于Java的Web服务器和Java Servlet容器。
Eclipse Jetty 9.2.x及之前版本、9.3.x版本和9.4.x版本存在请求走私漏洞。该漏洞源于程序未对Chunked Transfer-Encoding块大小进行正确处理。攻击者可利用该漏洞通过发送特制请求造成缓存中毒,绕过Web应用程序防火墙保护并进行跨站脚本攻击。

<**>

建议：

---

厂商补丁：

Eclipse
-------
目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://bugs.eclipse.org/bugs/show_bug.cgi?id=535668

浏览次数：3028
严重程度：0（网友投票）