漏洞标题
N/A
漏洞描述信息
在Eclipse Jetty Server,所有9.x版本,当在默认错误处理下部署的Web应用程序收到故意错误的查询时,如果最终由DefaultServlet的静态文件处理来处理,这些错误字符可能会引起一个java.nio.file.InvalidPathException,该Exception包括DefaultServlet和/或Web应用程序使用的底层资源目录的完整路径。如果此InvalidPathException由默认错误处理程序处理,则错误响应中包含InvalidPathException消息,揭示请求系统的的完整服务器路径。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
In Eclipse Jetty Server, all 9.x versions, on webapps deployed using default Error Handling, when an intentionally bad query arrives that doesn't match a dynamic url-pattern, and is eventually handled by the DefaultServlet's static file serving, the bad characters can trigger a java.nio.file.InvalidPathException which includes the full path to the base resource directory that the DefaultServlet and/or webapp is using. If this InvalidPathException is then handled by the default Error Handler, the InvalidPathException message is included in the error response, revealing the full server path to the requesting system.
CVSS信息
N/A
漏洞类别
通过错误消息导致的信息暴露
漏洞标题
Eclipse Jetty Server 信息泄露漏洞
漏洞描述信息
Eclipse Jetty是Eclipse基金会的一个开源的、基于Java的Web服务器和Java Servlet容器。 Eclipse Jetty Server 9.x版本中存在安全漏洞,该漏洞源于错误响应中带有包含敏感信息的InvalidPathException消息。攻击者可利用该漏洞获取基本资源目录的绝对路径。
CVSS信息
N/A
漏洞类别
信息泄露