PT-2021-7304 · Eclipse+2 · Eclipse Jetty+2

Publicado

2021-04-01

·

Atualizado

2024-03-06

·

CVE-2021-28163

CVSS v2.0

5.0

Média

VetorAV:N/AC:L/Au:N/C:P/I:N/A:N
Nome do software vulnerável e versões afetadas
Versões do Eclipse Jetty de 9.4.32 a 9.4.38
Versões do Eclipse Jetty de 10.0.0.beta2 a 10.0.1
Versões do Eclipse Jetty de 11.0.0.beta2 a 11.0.1
Descrição
O problema está relacionado ao fato de o diretório webapps no Eclipse Jetty ser um link simbólico, o que pode fazer com que o conteúdo do diretório webapps seja implantado como um aplicativo web estático. Isso pode, inadvertidamente, disponibilizar os próprios aplicativos web e qualquer outro item que possa estar nesse diretório, permitindo potencialmente que um invasor remoto obtenha acesso não autorizado a informações protegidas.
Recomendações
Para as versões 9.4.32 a 9.4.38 do Eclipse Jetty, não use um link simbólico para o diretório webapps.
Para as versões 10.0.0.beta2 a 10.0.1 do Eclipse Jetty, não use um link simbólico para o diretório webapps.
Para as versões 11.0.0.beta2 a 11.0.1 do Eclipse Jetty, não use um link simbólico para o diretório webapps.

Exploit

Correção

Information Disclosure

Link Following

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-200CWE-59

Identificadores relacionados

ALT-PU-2021-2000
BDU:2022-05511
BIT-SOLR-2021-28163
CVE-2021-28163
GHSA-J6QJ-J888-VVGQ
OPENSUSE-SU-2021:2005-1
OPENSUSE-SU-2021_2005-1
OPENSUSE-SU-2024:10878-1
RHSA-2021:1509
RHSA-2021:1551
SUSE-SU-2021:2005-1
SUSE-SU-2021_2005-1

Produtos afetados

Alt Linux
Eclipse Jetty
Suse