Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el directorio WEB-INF en Eclipse Jetty (CVE-2021-28169)

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
09/06/2021
Última modificación:
07/11/2023

Descripción

Para Eclipse Jetty versiones anteriores a 9.4.40 incluyéndola, versiones anteriores a 10.0.2 incluyéndola, versiones anteriores a 11.0.2 incluyéndola, es posible que las peticiónes al ConcatServlet con una ruta doblemente codificada acceder a recursos protegidos dentro del directorio WEB-INF. Por ejemplo, una petición a "/concat?/%2557EB-INF/web.xml" puede recuperar el archivo web.xml. Esto puede revelar información confidencial sobre la implementación de una aplicación web

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:eclipse:jetty:*:*:*:*:*:*:*:* 9.4.41 (excluyendo)
cpe:2.3:a:eclipse:jetty:*:*:*:*:*:*:*:* 10.0.0 (incluyendo) 10.0.3 (excluyendo)
cpe:2.3:a:eclipse:jetty:*:*:*:*:*:*:*:* 11.0.0 (incluyendo) 11.0.3 (excluyendo)
cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:*
cpe:2.3:a:oracle:communications_cloud_native_core_policy:1.14.0:*:*:*:*:*:*:*
cpe:2.3:a:oracle:rest_data_services:*:*:*:*:-:*:*:* 21.3 (excluyendo)
cpe:2.3:a:netapp:active_iq_unified_manager:-:*:*:*:*:linux:*:*
cpe:2.3:a:netapp:active_iq_unified_manager:-:*:*:*:*:windows:*:*
cpe:2.3:a:netapp:hci:-:*:*:*:*:*:*:*
cpe:2.3:a:netapp:management_services_for_element_software:-:*:*:*:*:*:*:*
cpe:2.3:a:netapp:snap_creator_framework:-:*:*:*:*:*:*:*


Referencias a soluciones, herramientas e información