当Jetty处理包含带有大量质量因子参数(Accept请求头中的q值)的Accept请求头的请求时,CPU使用率较高,服务器可能会进入拒绝服务状态。
受影响版本:
- · Eclipse Jetty 9.4.6.v20170531 至9.4.36.v20210114版本
- · Eclipse Jetty 10.0.0版本
- · Eclipse Jetty 11.0.0版本
cve-2020-27223-poc1.sh: https://github.com/motikan2010/CVE-2020-27223/blob/main/poc/cve-2020-27223-poc1.sh
cve-2020-27223-poc2.sh: https://github.com/motikan2010/CVE-2020-27223/blob/main/poc/cve-2020-27223-poc2.sh
$ ./poc/cve-2020-27223-poc2.sh
curl: (28) Operation timed out after 120000 milliseconds with 0 bytes received
real 2m0.025s
user 0m0.016s
sys 0m0.009s
ref: