Jetty是一个开源的Java Web服务器和Servlet容器,广泛用于构建基于Java的Web应用程序,由于其广泛的应用和复杂的功能,Jetty也暴露出多个安全漏洞,以下是一些常见的Jetty漏洞及其详细信息:
Jetty 9.4.37中的敏感信息泄露(CVE-2021-28164)
(图片来源网络,侵删)
| 漏洞编号 | CVE-2021-28164 |
| 描述 | Jetty在处理URI时,为了符合RFC3986规范,支持了可能有歧义解释的URI,这导致了敏感信息泄露的问题。 |
| 利用方式 | 攻击者可以通过构造特定的URI,如/%2e/WEB-INF/web.xml,来读取服务器上的敏感文件。 |
| 影响版本 | Jetty 9.4.37 |
| 修复建议 | 升级到Jetty 9.4.39或更高版本。 |
Jetty 9.4.40中的多重解码问题(CVE-2021-28169)
| 漏洞编号 | CVE-2021-28169 |
| 描述 | Jetty Servlets中的某些类存在多重解码问题,攻击者可以利用这些类访问WEB-INF目录下的敏感文件。 |
| 利用方式 | 通过双重URL编码绕过限制,例如%252e,可以访问到敏感文件。 |
| 影响版本 | Jetty 9.4.40, 10.0.2, 11.0.2 |
| 修复建议 | 升级到Jetty 9.4.43、10.0.6或11.0.6。 |
Jetty 9.2.x及之前版本的HTTP请求走私漏洞(CVE-2017-7658)
| 漏洞编号 | CVE-2017-7658 |
| 描述 | Jetty在处理HTTP/0.9协议时存在问题,攻击者可以利用该漏洞进行缓存中毒。 |
| 风险等级 | 高危 |
| 影响版本 | Jetty 9.2.x及之前版本、9.3.x版本和9.4.x版本 |
| 修复建议 | 升级到Jetty 9.4.55.v20240627或更高版本。 |
Jetty的信息泄露漏洞(CVE-2017-9735)
| 漏洞编号 | CVE-2017-9735 |
| 描述 | Jetty在某些情况下会泄露服务器的绝对路径和其他敏感信息。 |
| 影响版本 | Jetty 9.4.6.v20170531, 9.3.20.v20170531, 9.2.22.v20170606 |
| 修复建议 | 升级到Jetty 9.4.17或更高版本。 |
Jetty的跨站脚本执行漏洞(CVE-2019-10241)
| 漏洞编号 | CVE-2019-10241 |
| 描述 | Jetty在某些情况下没有正确过滤用户输入,导致跨站脚本攻击。 |
| 影响版本 | Jetty 9.2.27, 9.3.26, 9.4.16 |
| 修复建议 | 升级到Jetty 9.4.17或更高版本。 |
是Jetty的一些常见漏洞及其详细信息,为了确保系统的安全性,强烈建议定期检查并更新Jetty的版本,同时遵循安全最佳实践,如避免使用已知存在漏洞的版本。
(图片来源网络,侵删)
到此,以上就是小编对于jetty 漏洞的问题就介绍到这了,希望介绍的几点解答对大家有用,有任何问题和不懂的,欢迎各位朋友在评论区讨论,给我留言。
(图片来源网络,侵删)
本文来源于互联网,如若侵权,请联系管理员删除,本文链接:https://www.9969.net/68301.html
