Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

github логотип

GHSA-cj7v-27pg-wf7q

Опубликовано: 07 июл. 2022
Источник: github
Github: Прошло ревью
CVSS3: 2.7

Описание

Jetty invalid URI parsing may produce invalid HttpURI.authority

Description

URI use within Jetty's HttpURI class can parse invalid URIs such as http://localhost;/path as having an authority with a host of localhost;.

A URIs of the type http://localhost;/path should be interpreted to be either invalid or as localhost; to be the userinfo and no host. However, HttpURI.host returns localhost; which is definitely wrong.

Impact

This can lead to errors with Jetty's HttpClient, and Jetty's ProxyServlet / AsyncProxyServlet / AsyncMiddleManServlet wrongly interpreting an authority with no host as one with a host.

Patches

Patched in PR #8146 for Jetty version 9.4.47. Patched in PR #8014 for Jetty versions 10.0.10, and 11.0.10

Workarounds

None.

For more information

If you have any questions or comments about this advisory:

Ссылки

Пакеты

Наименование

org.eclipse.jetty:jetty-http

maven
Затронутые версииВерсия исправления

< 9.4.47

9.4.47

Наименование

org.eclipse.jetty:jetty-http

maven
Затронутые версииВерсия исправления

>= 10.0.0, < 10.0.10

10.0.10

Наименование

org.eclipse.jetty:jetty-http

maven
Затронутые версииВерсия исправления

>= 11.0.0, < 11.0.10

11.0.10

EPSS

Процентиль: 79%
0.01185
Низкий

2.7 Low

CVSS3

CVE ID

CVE-2022-2047

Дефекты

CWE-20

Связанные уязвимости

ubuntu логотип

CVE-2022-2047

CVSS3: 2.7
ubuntu
больше 3 лет назад

In Eclipse Jetty versions 9.4.0 thru 9.4.46, and 10.0.0 thru 10.0.9, and 11.0.0 thru 11.0.9 versions, the parsing of the authority segment of an http scheme URI, the Jetty HttpURI class improperly detects an invalid input as a hostname. This can lead to failures in a Proxy scenario.

redhat логотип

CVE-2022-2047

CVSS3: 2.7
redhat
больше 3 лет назад

In Eclipse Jetty versions 9.4.0 thru 9.4.46, and 10.0.0 thru 10.0.9, and 11.0.0 thru 11.0.9 versions, the parsing of the authority segment of an http scheme URI, the Jetty HttpURI class improperly detects an invalid input as a hostname. This can lead to failures in a Proxy scenario.

nvd логотип

CVE-2022-2047

CVSS3: 2.7
nvd
больше 3 лет назад

In Eclipse Jetty versions 9.4.0 thru 9.4.46, and 10.0.0 thru 10.0.9, and 11.0.0 thru 11.0.9 versions, the parsing of the authority segment of an http scheme URI, the Jetty HttpURI class improperly detects an invalid input as a hostname. This can lead to failures in a Proxy scenario.

debian логотип

CVE-2022-2047

CVSS3: 2.7
debian
больше 3 лет назад

In Eclipse Jetty versions 9.4.0 thru 9.4.46, and 10.0.0 thru 10.0.9, a ...

fstec логотип

BDU:2023-00477

CVSS3: 2.7
fstec
больше 3 лет назад

Уязвимость контейнера сервлетов Eclipse Jetty, существующая из-за недостаточной проверки входных данных, позволяющая нарушителю привести к сбоям в сценарии прокси

EPSS

Процентиль: 79%
0.01185
Низкий

2.7 Low

CVSS3

CVE ID

CVE-2022-2047

Дефекты

CWE-20