よくわからず。現象はまあ、わかるけど、セッションハイジャックにつながるってちょっと飛びすぎでは？（CookieMonster+SessionFixation=>セッションハイジャック ってレベル？）

「Handling of cookies containing a ' character」ってあげてるとこがあるけど、http://www.securityfocus.com/bid/25316/exploitには「'」入ってなくて出来てるのがある気がする。違う番号のと話が混ざってるのかな。CVE-2007-3385、CVE-2007-3382って列挙されてた。

/servlets-examples/servlet/CookieExampleを叩いてみた。（別にCookieExampleを介することは必須ではない）

一回目（攻撃コード込み）

You just sent the following cookie to your browser:
Name: HAHA
Value: \"FOO=test; Expires=Thu, 1 Jan 2009 00:00:01 UTC; Path=/;

レスポンスは、「Set-Cookie: HAHA="\\"FOO=test; Expires=Thu, 1 Jan 2009 00:00:01 UTC; Path=/;"」って返ってくる。

二回目（攻撃コードなし）

Your browser is sending the following cookies:
Cookie Name: HAHA
Cookie Value: \\

Cookie Name: FOO
Cookie Value: test

リクエストには「Cookie: HAHA="\\"FOO=test」ってついている。

追記：CSRF MLにその議論いたらしい。最近全然見てないから気付かず。

Apache Tomcat（中略）セッションハイジャック攻撃に利用される脆弱性について

まあ、やっぱ激ヤバではないですよねぇ。CVSSが間違っちゃった感じでしょうか。頭に入ってたほうがいいかもですけども。