Vulnerability Name:

CVE-2009-4612 (CCN-55652)

Assigned:2009-10-24
Published:2009-10-24
Updated:2011-08-08
Summary:Multiple cross-site scripting (XSS) vulnerabilities in the WebApp JSP Snoop page in Mort Bay Jetty 6.1.x through 6.1.21 allow remote attackers to inject arbitrary web script or HTML via the PATH_INFO to the default URI under (1) jspsnoop/, (2) jspsnoop/ERROR/, and (3) jspsnoop/IOException/, and possibly the PATH_INFO to (4) snoop.jsp.
CVSS v3 Severity:5.3 Medium (CCN CVSS v3.1 Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N)
Exploitability Metrics:Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): None
User Interaction (UI): None
Scope:Scope (S): Unchanged
Impact Metrics:Confidentiality (C): None
Integrity (I): Low
Availibility (A): None
CVSS v2 Severity:4.3 Medium (CVSS v2 Vector: AV:N/AC:M/Au:N/C:N/I:P/A:N)
4.1 Medium (Temporal CVSS v2 Vector: AV:N/AC:M/Au:N/C:N/I:P/A:N/E:H/RL:U/RC:UR)
Exploitability Metrics:Access Vector (AV): Network
Access Complexity (AC): Medium
Authentication (Au): None
Impact Metrics:Confidentiality (C): None
Integrity (I): Partial
Availibility (A): None
4.3 Medium (CCN CVSS v2 Vector: AV:N/AC:M/Au:N/C:N/I:P/A:N)
4.1 Medium (CCN Temporal CVSS v2 Vector: AV:N/AC:M/Au:N/C:N/I:P/A:N/E:H/RL:U/RC:UR)
Exploitability Metrics:Access Vector (AV): Network
Access Complexity (AC): Medium
Athentication (Au): None
Impact Metrics:Confidentiality (C): None
Integrity (I): Partial
Availibility (A): None
Vulnerability Type:CWE-79
Vulnerability Consequences:Gain Access
References:Source: MITRE
Type: CNA
CVE-2009-4612

Source: CCN
Type: IBM Security Bulletin 1666525
Vulnerabilities found in IBM Sterling B2B Integrator and IBM Sterling File Gateway (CVE-2011-4461, CVS-2009-4612, CVE-2009-4611, CVE-2009-4610, CVS-2009-4609, CVE-2009-1524, CVE-2009-1523)

Source: CCN
Type: Mort Bay Consulting Web site
jetty - Jetty WebServer

Source: CCN
Type: OSVDB ID: 61765
Jetty WebApp JSP Snoop Page URI PATH_INFO Parameter XSS

Source: CCN
Type: ush Web site
Jetty 6.x and 7.x Multiple Vulnerabilities

Source: MISC
Type: Exploit
http://www.ush.it/team/ush/hack-jetty6x7x/jetty-adv.txt

Source: XF
Type: UNKNOWN
jetty-snooppage-xss(55652)

Source: CCN
Type: IBM Security Bulletin 6621343 (Control Desk)
Provision to add https and Secure Flag to bayeux_browser cookie for IBM Control Desk.

Vulnerable Configuration:Configuration 1:
  • cpe:/a:mortbay:jetty:6.1.0:*:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.0:pre0:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.0:pre1:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.0:pre2:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.0:pre3:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.0:rc0:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.0:rc1:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.0:rc2:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.0:rc3:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.1:*:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.1:rc0:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.2:*:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.2:pre0:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.2:pre1:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.2:rc0:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.2:rc1:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.2:rc2:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.2:rc3:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.2:rc4:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.2:rc5:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.3:*:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.4:*:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.4:rc0:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.4:rc1:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.5:*:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.5:rc0:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.6:*:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.6:rc0:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.6:rc1:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.7:*:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.8:*:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.9:*:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.10:*:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.11:*:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.12:*:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.12:rc1:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.12:rc2:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.12:rc3:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.12:rc4:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.12:rc5:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.14:*:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.15:*:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.15:pre0:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.15:rc2:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.15:rc3:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.15:rc4:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.15:rc5:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.16:*:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.19:*:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.20:*:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.21:*:*:*:*:*:*:*

    • Configuration CCN 1:
  • cpe:/a:mortbay:jetty:6.1.19:*:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.20:*:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.16:*:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.15:rc3:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.15:rc4:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.15:rc5:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.15:*:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.12:*:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.14:*:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.15:pre0:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.15:rc2:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.12:rc2:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.12:rc3:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.12:rc4:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.12:rc5:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.9:*:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.10:*:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.11:*:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.12:rc1:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.8:*:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.7:*:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.6:*:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.6:rc1:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.6:rc0:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.5:*:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.5:rc0:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.4:*:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.4:rc1:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.4:rc0:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.3:*:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.2:*:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.2:rc5:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.2:rc4:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.2:rc3:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.2:rc2:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.2:rc0:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.2:rc1:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.2:pre0:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.2:pre1:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.1:rc0:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.1:*:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.0:rc3:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.0:*:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.0:rc1:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.0:rc2:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.0:pre3:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.0:rc0:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.0:pre0:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.0:pre1:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.0:pre2:*:*:*:*:*:*
  • OR cpe:/a:mortbay:jetty:6.1.21:*:*:*:*:*:*:*
  • AND
  • cpe:/a:ibm:sterling_b2b_integrator:5.1:*:*:*:*:*:*:*
  • OR cpe:/a:ibm:sterling_b2b_integrator:5.2:*:*:*:*:*:*:*
  • OR cpe:/a:ibm:control_desk:7.6.1:*:*:*:*:*:*:*

    • * Denotes that component is vulnerable
    BACK
    mortbay jetty 6.1.0
    mortbay jetty 6.1.0 pre0
    mortbay jetty 6.1.0 pre1
    mortbay jetty 6.1.0 pre2
    mortbay jetty 6.1.0 pre3
    mortbay jetty 6.1.0 rc0
    mortbay jetty 6.1.0 rc1
    mortbay jetty 6.1.0 rc2
    mortbay jetty 6.1.0 rc3
    mortbay jetty 6.1.1
    mortbay jetty 6.1.1 rc0
    mortbay jetty 6.1.2
    mortbay jetty 6.1.2 pre0
    mortbay jetty 6.1.2 pre1
    mortbay jetty 6.1.2 rc0
    mortbay jetty 6.1.2 rc1
    mortbay jetty 6.1.2 rc2
    mortbay jetty 6.1.2 rc3
    mortbay jetty 6.1.2 rc4
    mortbay jetty 6.1.2 rc5
    mortbay jetty 6.1.3
    mortbay jetty 6.1.4
    mortbay jetty 6.1.4 rc0
    mortbay jetty 6.1.4 rc1
    mortbay jetty 6.1.5
    mortbay jetty 6.1.5 rc0
    mortbay jetty 6.1.6
    mortbay jetty 6.1.6 rc0
    mortbay jetty 6.1.6 rc1
    mortbay jetty 6.1.7
    mortbay jetty 6.1.8
    mortbay jetty 6.1.9
    mortbay jetty 6.1.10
    mortbay jetty 6.1.11
    mortbay jetty 6.1.12
    mortbay jetty 6.1.12 rc1
    mortbay jetty 6.1.12 rc2
    mortbay jetty 6.1.12 rc3
    mortbay jetty 6.1.12 rc4
    mortbay jetty 6.1.12 rc5
    mortbay jetty 6.1.14
    mortbay jetty 6.1.15
    mortbay jetty 6.1.15 pre0
    mortbay jetty 6.1.15 rc2
    mortbay jetty 6.1.15 rc3
    mortbay jetty 6.1.15 rc4
    mortbay jetty 6.1.15 rc5
    mortbay jetty 6.1.16
    mortbay jetty 6.1.19
    mortbay jetty 6.1.20
    mortbay jetty 6.1.21
    mortbay jetty 6.1.19
    mortbay jetty 6.1.20
    mortbay jetty 6.1.16
    mortbay jetty 6.1.15 rc3
    mortbay jetty 6.1.15 rc4
    mortbay jetty 6.1.15 rc5
    mortbay jetty 6.1.15
    mortbay jetty 6.1.12
    mortbay jetty 6.1.14
    mortbay jetty 6.1.15 pre0
    mortbay jetty 6.1.15 rc2
    mortbay jetty 6.1.12 rc2
    mortbay jetty 6.1.12 rc3
    mortbay jetty 6.1.12 rc4
    mortbay jetty 6.1.12 rc5
    mortbay jetty 6.1.9
    mortbay jetty 6.1.10
    mortbay jetty 6.1.11
    mortbay jetty 6.1.12 rc1
    mortbay jetty 6.1.8
    mortbay jetty 6.1.7
    mortbay jetty 6.1.6
    mortbay jetty 6.1.6 rc1
    mortbay jetty 6.1.6 rc0
    mortbay jetty 6.1.5
    mortbay jetty 6.1.5 rc0
    mortbay jetty 6.1.4
    mortbay jetty 6.1.4 rc1
    mortbay jetty 6.1.4 rc0
    mortbay jetty 6.1.3
    mortbay jetty 6.1.2
    mortbay jetty 6.1.2 rc5
    mortbay jetty 6.1.2 rc4
    mortbay jetty 6.1.2 rc3
    mortbay jetty 6.1.2 rc2
    mortbay jetty 6.1.2 rc0
    mortbay jetty 6.1.2 rc1
    mortbay jetty 6.1.2 pre0
    mortbay jetty 6.1.2 pre1
    mortbay jetty 6.1.1 rc0
    mortbay jetty 6.1.1
    mortbay jetty 6.1.0 rc3
    mortbay jetty 6.1.0
    mortbay jetty 6.1.0 rc1
    mortbay jetty 6.1.0 rc2
    mortbay jetty 6.1.0 pre3
    mortbay jetty 6.1.0 rc0
    mortbay jetty 6.1.0 pre0
    mortbay jetty 6.1.0 pre1
    mortbay jetty 6.1.0 pre2
    mortbay jetty 6.1.21
    ibm sterling b2b integrator 5.1
    ibm sterling b2b integrator 5.2
    ibm control desk 7.6.1