Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2021-28164

Опубликовано: 01 апр. 2021
Источник: nvd
CVSS3: 5.3
CVSS2: 5
EPSS Критический

Описание

In Eclipse Jetty 9.4.37.v20210219 to 9.4.38.v20210224, the default compliance mode allows requests with URIs that contain %2e or %2e%2e segments to access protected resources within the WEB-INF directory. For example a request to /context/%2e/WEB-INF/web.xml can retrieve the web.xml file. This can reveal sensitive information regarding the implementation of a web application.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:eclipse:jetty:9.4.37:20210219:*:*:*:*:*:*
cpe:2.3:a:eclipse:jetty:9.4.38:20210224:*:*:*:*:*:*
Конфигурация 2

Одно из

cpe:2.3:a:netapp:cloud_manager:-:*:*:*:*:*:*:*
cpe:2.3:a:netapp:e-series_performance_analyzer:-:*:*:*:*:*:*:*
cpe:2.3:a:netapp:e-series_santricity_os_controller:*:*:*:*:*:*:*:*
Версия от 11.0 (включая) до 11.70.1 (включая)
cpe:2.3:a:netapp:e-series_santricity_web_services:-:*:*:*:*:web_services_proxy:*:*
cpe:2.3:a:netapp:element_plug-in_for_vcenter_server:-:*:*:*:*:*:*:*
cpe:2.3:a:netapp:santricity_cloud_connector:-:*:*:*:*:*:*:*
cpe:2.3:a:netapp:snapcenter:-:*:*:*:*:*:*:*
cpe:2.3:a:netapp:snapcenter_plug-in:-:*:*:*:*:vmware_vsphere:*:*
cpe:2.3:a:netapp:storage_replication_adapter_for_clustered_data_ontap:*:*:*:*:*:vmware_vsphere:*:*
Версия от 9.6 (включая)
cpe:2.3:a:netapp:vasa_provider_for_clustered_data_ontap:*:*:*:*:*:*:*:*
Версия от 9.6 (включая)
cpe:2.3:a:netapp:virtual_storage_console:*:*:*:*:*:vmware_vsphere:*:*
Версия от 9.6 (включая)
Конфигурация 3

Одно из

cpe:2.3:a:oracle:autovue_for_agile_product_lifecycle_management:21.0.2:*:*:*:*:*:*:*
cpe:2.3:a:oracle:banking_apis:20.1:*:*:*:*:*:*:*
cpe:2.3:a:oracle:banking_apis:21.1:*:*:*:*:*:*:*
cpe:2.3:a:oracle:banking_digital_experience:20.1:*:*:*:*:*:*:*
cpe:2.3:a:oracle:banking_digital_experience:21.1:*:*:*:*:*:*:*
cpe:2.3:a:oracle:communications_session_route_manager:*:*:*:*:*:*:*:*
Версия от 8.0.0 (включая) до 8.2.4 (включая)
cpe:2.3:a:oracle:siebel_core_-_automation:*:*:*:*:*:*:*:*
Версия до 21.9 (включая)

EPSS

Процентиль: 100%
0.93485
Критический

5.3 Medium

CVSS3

5 Medium

CVSS2

Дефекты

CWE-200
NVD-CWE-Other

Связанные уязвимости

ubuntu логотип

CVE-2021-28164

CVSS3: 5.3
ubuntu
почти 5 лет назад

In Eclipse Jetty 9.4.37.v20210219 to 9.4.38.v20210224, the default compliance mode allows requests with URIs that contain %2e or %2e%2e segments to access protected resources within the WEB-INF directory. For example a request to /context/%2e/WEB-INF/web.xml can retrieve the web.xml file. This can reveal sensitive information regarding the implementation of a web application.

redhat логотип

CVE-2021-28164

CVSS3: 5.3
redhat
почти 5 лет назад

In Eclipse Jetty 9.4.37.v20210219 to 9.4.38.v20210224, the default compliance mode allows requests with URIs that contain %2e or %2e%2e segments to access protected resources within the WEB-INF directory. For example a request to /context/%2e/WEB-INF/web.xml can retrieve the web.xml file. This can reveal sensitive information regarding the implementation of a web application.

debian логотип

CVE-2021-28164

CVSS3: 5.3
debian
почти 5 лет назад

In Eclipse Jetty 9.4.37.v20210219 to 9.4.38.v20210224, the default com ...

github логотип

GHSA-v7ff-8wcx-gmc5

CVSS3: 5.3
github
почти 5 лет назад

Authorization Before Parsing and Canonicalization in jetty

fstec логотип

BDU:2022-05510

CVSS3: 5.3
fstec
почти 5 лет назад

Уязвимость контейнера сервлетов Eclipse Jetty, связанная с ошибками при обработке информации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

EPSS

Процентиль: 100%
0.93485
Критический

5.3 Medium

CVSS3

5 Medium

CVSS2

Дефекты

CWE-200
NVD-CWE-Other