Im Detail gehen die Meinung dahingehend auseinander, in wie weit ein interner Serverfehler einer java.Text.ParseException mit kompletten Stacktrace, RegEx und dem zurück an den Webbrowser geworfen, nicht validierten Eingabewert ein Sicherheitsrisiko darstellt oder einfach nur "unschön" ist.

Es ist meiner Lesart nach eine Schwachstelle, die für Session-Diebstahl und (das wird schwieriger) Reverse Shells gerne verwendet wird.

Bis Ende der Woche habe ich von Jan grünes Licht ein wenig gegen die WEbsite zu klopfen. Mal sehen, ob ein Proof of Concept dabei rausfällt oder nicht.