Анализатор Jetty URI имеет некоторые ключевые отличия от других распространенных анализаторов при оценке недействительных или необычных URI. Дифференциальный анализ URI в системах, использующих несколько компонентов, может привести к обходу безопасности. Например, компонент, который применяет черный список, может интерпретировать URI иначе, чем тот, который генерирует ответ.
По крайней мере, дифференциальный анализ может раскрыть детали реализации.
Показать оригинальное описание (EN)
The Jetty URI parser has some key differences to other common parsers when evaluating invalid or unusual URIs. Differential parsing of URIs in systems using multiple components may result in security by-pass. For example a component that enforces a black list may interpret the URIs differently from one that generates a response. At the very least, differential parsing may divulge implementation details.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 5
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Eclipse Jetty
cpe:2.3:a:eclipse:jetty:*:*:*:*:*:*:*:*
|
9.4.0
|
<= 9.4.58
|
|
Eclipse Jetty
cpe:2.3:a:eclipse:jetty:*:*:*:*:*:*:*:*
|
10.0.0
|
<= 10.0.26
|
|
Eclipse Jetty
cpe:2.3:a:eclipse:jetty:*:*:*:*:*:*:*:*
|
11.0.0
|
<= 11.0.26
|
|
Eclipse Jetty
cpe:2.3:a:eclipse:jetty:*:*:*:*:*:*:*:*
|
12.0.0
|
12.0.31
|
|
Eclipse Jetty
cpe:2.3:a:eclipse:jetty:*:*:*:*:*:*:*:*
|
12.1.0
|
12.1.5
|