Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-05680

Опубликовано: 09 июн. 2021
Источник: fstec
CVSS3: 5.3
CVSS2: 5
EPSS Высокий

Описание

Уязвимость сервлета concat контейнера сервлетов Eclipse Jetty связана с отсутствием защиты служебных данных. Эксплуатация уязвимости может позволить нарушителю , действующему удаленно, получить конфиденциальную информацию

Вендор

Сообщество свободного программного обеспечения
Red Hat Inc.
Eclipse Foundation
Oracle Corp.
АО "НППКТ"
АО «Концерн ВНИИНС»

Наименование ПО

Debian GNU/Linux
OpenShift Container Platform
Jboss Fuse
Red Hat OpenStack Platform
Red Hat AMQ Broker
Red Hat Integration Service Registry
Jetty
Red Hat Integration Camel Quarkus
Red Hat Integration
Communications Cloud Native Core Policy
REST Data Services
ОСОН ОСнова Оnyx
Red Hat Developer Tools
ОС ОН «Стрелец»

Версия ПО

9 (Debian GNU/Linux)
3.11 (OpenShift Container Platform)
7 (Jboss Fuse)
10 (Debian GNU/Linux)
13.0 (Queens) (Red Hat OpenStack Platform)
4 (OpenShift Container Platform)
7 (Red Hat AMQ Broker)
- (Red Hat Integration Service Registry)
до 9.4.41 (Jetty)
- (Red Hat Integration Camel Quarkus)
11 (Debian GNU/Linux)
4.9 (OpenShift Container Platform)
- (Red Hat Integration)
1.14.0 (Communications Cloud Native Core Policy)
до 21.3 (REST Data Services)
до 2.5 (ОСОН ОСнова Оnyx)
- (Red Hat Developer Tools)
от 10.0.0 до 10.0.3 (Jetty)
от 11.0.0 до 11.0.3 (Jetty)
до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система
Прикладное ПО информационных систем
ПО программно-аппаратного средства
Сетевое средство

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Сообщество свободного программного обеспечения Debian GNU/Linux 11
АО "НППКТ" ОСОН ОСнова Оnyx до 2.5
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Eclipse Jetty:
https://github.com/eclipse/jetty.project/security/advisories/GHSA-gwcr-j4wh-j3cq
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-28169/
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2021-28169
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuapr2022.html
https://www.oracle.com/security-alerts/cpujan2022.html
https://www.oracle.com/security-alerts/cpuoct2021.html
Для ОС ОН «Стрелец»:
Обновление программного обеспечения jetty9 до версии 9.2.30-0+deb9u2
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения jetty9 до версии 9.4.39+repack-3osnova1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 100%
0.88841
Высокий

5.3 Medium

CVSS3

5 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2021-28169

CVSS3: 5.3
ubuntu
больше 4 лет назад

For Eclipse Jetty versions <= 9.4.40, <= 10.0.2, <= 11.0.2, it is possible for requests to the ConcatServlet with a doubly encoded path to access protected resources within the WEB-INF directory. For example a request to `/concat?/%2557EB-INF/web.xml` can retrieve the web.xml file. This can reveal sensitive information regarding the implementation of a web application.

redhat логотип

CVE-2021-28169

CVSS3: 5.3
redhat
больше 4 лет назад

For Eclipse Jetty versions <= 9.4.40, <= 10.0.2, <= 11.0.2, it is possible for requests to the ConcatServlet with a doubly encoded path to access protected resources within the WEB-INF directory. For example a request to `/concat?/%2557EB-INF/web.xml` can retrieve the web.xml file. This can reveal sensitive information regarding the implementation of a web application.

nvd логотип

CVE-2021-28169

CVSS3: 5.3
nvd
больше 4 лет назад

For Eclipse Jetty versions <= 9.4.40, <= 10.0.2, <= 11.0.2, it is possible for requests to the ConcatServlet with a doubly encoded path to access protected resources within the WEB-INF directory. For example a request to `/concat?/%2557EB-INF/web.xml` can retrieve the web.xml file. This can reveal sensitive information regarding the implementation of a web application.

debian логотип

CVE-2021-28169

CVSS3: 5.3
debian
больше 4 лет назад

For Eclipse Jetty versions <= 9.4.40, <= 10.0.2, <= 11.0.2, it is poss ...

github логотип

GHSA-gwcr-j4wh-j3cq

CVSS3: 5.3
github
больше 4 лет назад

Jetty Utility Servlets ConcatServlet Double Decoding Information Disclosure Vulnerability

EPSS

Процентиль: 100%
0.88841
Высокий

5.3 Medium

CVSS3

5 Medium

CVSS2