PT-2022-6209 · Eclipse+2 · Eclipse Jetty+2
Rafax00
+1
·
Publicado
2022-07-07
·
Atualizado
2026-05-18
·
CVE-2022-2047
CVSS v2.0
4.0
Média
| Vetor | AV:N/AC:L/Au:S/C:N/I:P/A:N |
Nome do software vulnerável e versões afetadas
Versões do Eclipse Jetty de 9.4.0 a 9.4.46
Versões do Eclipse Jetty de 10.0.0 a 10.0.9
Versões do Eclipse Jetty de 11.0.0 a 11.0.9
Descrição
A análise do segmento de autoridade de uma URI do esquema http na classe HttpURI do Jetty detecta incorretamente uma entrada inválida como um nome de host, levando a falhas em um cenário de proxy. Esse problema pode causar erros com o HttpClient do Jetty e com o ProxyServlet, AsyncProxyServlet e AsyncMiddleManServlet do Jetty, que interpretam erroneamente uma autoridade sem host como uma com host. Por exemplo, uma URI como
http://localhost;/path é analisada como tendo uma autoridade com um host localhost;, o que está incorreto.Recomendações
Para as versões 9.4.0 a 9.4.46 do Eclipse Jetty, atualize para a versão 9.4.47 ou posterior.
Para as versões 10.0.0 a 10.0.9 do Eclipse Jetty, atualize para a versão 10.0.10 ou posterior.
Para as versões 11.0.0 a 11.0.9 do Eclipse Jetty, atualize para a versão 11.0.10 ou posterior.
Correção
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Astra Linux
Eclipse Jetty