Vulnerabilidad en Eclipse Jetty (CVE-2019-10247)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-200
Revelación de información
Fecha de publicación:
22/04/2019
Última modificación:
07/11/2023
Descripción
En Eclipse Jetty versión 7.x, versión 8.x,versión 9.2.27 y anteriores , versión 9.3.26 y anteriores , y versión 9.4.16 y anteriores, el servidor que se ejecuta en cualquier combinación de versión de sistema operativo y Jetty, revelará la ubicación del recurso base de directorio calificado y completamente configurado en la salida del error 404 para no encontrar un contexto que coincida con la path requerida. El comportamiento del servidor por defecto en jetty-distribution y jetty-home incluirá al final del árbol de Handlers un DefaultHandler, que es responsable de informar este error 404, presenta los diversos contextos configurados como HTML para que los usuarios hagan clic. Este HTML generado incluye una salida que contiene la ubicación de recursos base de directorio totalmente calificada y configurada para cada contexto.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:eclipse:jetty:7.0.0:20091005:*:*:*:*:*:* | ||
| cpe:2.3:a:eclipse:jetty:7.0.0:maintenance_0:*:*:*:*:*:* | ||
| cpe:2.3:a:eclipse:jetty:7.0.0:maintenance_1:*:*:*:*:*:* | ||
| cpe:2.3:a:eclipse:jetty:7.0.0:maintenance_2:*:*:*:*:*:* | ||
| cpe:2.3:a:eclipse:jetty:7.0.0:maintenance_3:*:*:*:*:*:* | ||
| cpe:2.3:a:eclipse:jetty:7.0.0:maintenance_4:*:*:*:*:*:* | ||
| cpe:2.3:a:eclipse:jetty:7.0.0:rc0:*:*:*:*:*:* | ||
| cpe:2.3:a:eclipse:jetty:7.0.0:rc1:*:*:*:*:*:* | ||
| cpe:2.3:a:eclipse:jetty:7.0.0:rc3:*:*:*:*:*:* | ||
| cpe:2.3:a:eclipse:jetty:7.0.0:rc4:*:*:*:*:*:* | ||
| cpe:2.3:a:eclipse:jetty:7.0.0:rc5:*:*:*:*:*:* | ||
| cpe:2.3:a:eclipse:jetty:7.0.0:rc6:*:*:*:*:*:* | ||
| cpe:2.3:a:eclipse:jetty:7.0.1:20091125:*:*:*:*:*:* | ||
| cpe:2.3:a:eclipse:jetty:7.0.2:20100331:*:*:*:*:*:* | ||
| cpe:2.3:a:eclipse:jetty:7.0.2:rc0:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://bugs.eclipse.org/bugs/show_bug.cgi?id=546577
- https://lists.apache.org/thread.html/053d9ce4d579b02203db18545fee5e33f35f2932885459b74d1e4272%40%3Cissues.activemq.apache.org%3E
- https://lists.apache.org/thread.html/519eb0fd45642dcecd9ff74cb3e71c20a4753f7d82e2f07864b5108f%40%3Cdev.drill.apache.org%3E
- https://lists.apache.org/thread.html/ac51944aef91dd5006b8510b0bef337adaccfe962fb90e7af9c22db4%40%3Cissues.activemq.apache.org%3E
- https://lists.apache.org/thread.html/bcce5a9c532b386c68dab2f6b3ce8b0cc9b950ec551766e76391caa3%40%3Ccommits.nifi.apache.org%3E
- https://lists.apache.org/thread.html/f9bc3e55f4e28d1dcd1a69aae6d53e609a758e34d2869b4d798e13cc%40%3Cissues.drill.apache.org%3E
- https://lists.apache.org/thread.html/rca37935d661f4689cb4119f1b3b224413b22be161b678e6e6ce0c69b%40%3Ccommits.nifi.apache.org%3E
- https://lists.debian.org/debian-lts-announce/2021/05/msg00016.html
- https://security.netapp.com/advisory/ntap-20190509-0003/
- https://www.debian.org/security/2021/dsa-4949
- https://www.oracle.com/security-alerts/cpuApr2021.html
- https://www.oracle.com/security-alerts/cpuapr2020.html
- https://www.oracle.com/security-alerts/cpuapr2022.html
- https://www.oracle.com/security-alerts/cpujan2020.html
- https://www.oracle.com/security-alerts/cpujan2021.html
- https://www.oracle.com/security-alerts/cpujul2020.html
- https://www.oracle.com/security-alerts/cpuoct2020.html
- https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html