PT-2021-6553 · Eclipse+2 · Eclipse Jetty+2

Publicado

2021-07-15

·

Atualizado

2025-09-29

·

CVE-2021-34429

CVSS v3.1

5.3

Média

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
Nome do software vulnerável e versões afetadas
Versões do Eclipse Jetty de 9.4.37 a 9.4.42
Versões do Eclipse Jetty de 10.0.1 a 10.0.5
Versões do Eclipse Jetty de 11.0.1 a 11.0.5
Descrição
A vulnerabilidade permite que um invasor crie URIs usando caracteres codificados para acessar o conteúdo do diretório WEB-INF e/ou contornar algumas restrições de segurança. Isso está relacionado a uma autorização inadequada no contêiner de servlets Jetty, que pode ser explorada por um invasor remoto para obter acesso a dados confidenciais.
Recomendações
Para as versões 9.4.37 a 9.4.42 do Eclipse Jetty, atualize para uma versão fora desse intervalo para resolver a vulnerabilidade.
Para as versões 10.0.1 a 10.0.5 do Eclipse Jetty, atualize para uma versão fora desse intervalo para resolver a vulnerabilidade.
Para as versões 11.0.1 a 11.0.5 do Eclipse Jetty, atualize para uma versão fora desse intervalo para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso ao diretório WEB-INF para minimizar o risco de exploração.

Exploit

Correção

Information Disclosure

Incorrect Authorization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-200CWE-551CWE-863

Identificadores relacionados

ALSA-2024_1444
ALSA-2025_16880
ALT-PU-2024-16002
ALT-PU-2024-16022
ALT-PU-2024-16072
BDU:2022-01815
CVE-2021-34429
GHSA-VJV5-GP2W-65VM
OPENSUSE-SU-2021:2838-1
OPENSUSE-SU-2021_2838-1
OPENSUSE-SU-2024:10878-1
SUSE-SU-2021:2838-1
SUSE-SU-2021_2838-1

Produtos afetados

Alt Linux
Eclipse Jetty
Suse