Vulnerabilidad en Jetty (CVE-2023-41900)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-287
Autenticación incorrecta
Fecha de publicación:
15/09/2023
Última modificación:
21/01/2024
Descripción
Jetty es un servidor web y motor de servlet basado en Java. Las versiones 9.4.21 a 9.4.51, 10.0.15 y 11.0.15 son vulnerables a una autenticación débil. Si un `OpenIdAuthenticator` de Jetty usa el `LoginService` anidado opcional, y ese `LoginService` decide revocar a un usuario ya autenticado, entonces la solicitud actual seguirá tratando al usuario como autenticado. Luego, la autenticación se borra de la sesión y las solicitudes posteriores no se tratarán como autenticadas. Por lo tanto, se podría permitir que una solicitud en una sesión previamente autenticada omita la autenticación después de haber sido rechazada por "LoginService". Esto afecta los usos de jetty-openid que han configurado un "LoginService" anidado y donde ese "LoginService" será capaz de rechazar usuarios previamente autenticados. Las versiones 9.4.52, 10.0.16 y 11.0.16 tienen un parche para este problema.
Impacto
Puntuación base 3.x
4.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:eclipse:jetty:*:*:*:*:*:*:*:* | 9.4.21 (incluyendo) | 9.4.52 (excluyendo) |
| cpe:2.3:a:eclipse:jetty:*:*:*:*:*:*:*:* | 10.0.0 (incluyendo) | 10.0.16 (excluyendo) |
| cpe:2.3:a:eclipse:jetty:*:*:*:*:*:*:*:* | 11.0.0 (incluyendo) | 11.0.16 (excluyendo) |
| cpe:2.3:o:debian:debian_linux:11.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:12.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página