漏洞标题
N/A
漏洞描述信息
Jetty在4.2.27之前、5.1在5.1.12之前、6.0在6.0.2之前和6.1在6.1.0pre3之前使用java.util.random生成可预测的会话标识符,这使得远程攻击者更容易通过 brute force攻击、绕过验证要求以及可能进行跨站点请求伪造攻击来猜测会话标识符。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Jetty before 4.2.27, 5.1 before 5.1.12, 6.0 before 6.0.2, and 6.1 before 6.1.0pre3 generates predictable session identifiers using java.util.random, which makes it easier for remote attackers to guess a session identifier through brute force attacks, bypass authentication requirements, and possibly conduct cross-site request forgery attacks.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Jetty可预测随机会话ID漏洞
漏洞描述信息
Jetty是一款流行的Java Web服务器。 Jetty的会话ID随机生成实现上存在漏洞,远程攻击者可能利用此漏洞获取非授权访问。 Jetty使用java.util.Random生成会话ID。java.util.random实现以下形式的线性同余随机数生成器: synchronized protected int next(int bits) { seed = (seed * 0x5DEECE66DL + 0xBL) & ((1L << 48) - 1); return (int)(seed >>> (
CVSS信息
N/A
漏洞类别
授权问题