CVE-2021-28164 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Eclipse Jetty 存在**路径遍历**漏洞。 📉 **后果**：攻击者可通过构造特殊 URI，绕过安全限制，直接访问 **WEB-INF** 目录下的受保护资源，导致敏感信息泄露。

🔍 **CWE**：CWE-200（信息泄露）。 🐛 **缺陷点**：默认合规模式下，对 URI 中的 **%2e** 或 **%2e%2e** 序列处理不当，未能正确拦截对内部目录的非法访问。

📦 **组件**：Eclipse Jetty（Java Web 服务器/Servlet 容器）。 📅 **版本**：**9.4.37.v20210219** 至 **9.4.38.v20210224**。

🕵️ **黑客能力**：无需认证即可读取 **WEB-INF** 内容。 📂 **数据风险**：获取 Web 应用的实现细节、配置文件或敏感数据，为后续攻击提供情报。

🚪 **利用门槛**：**极低**。 ✅ **条件**：无需认证（PR:N），攻击复杂度低（AC:L），无需用户交互（UI:N），通过网络即可直接利用。

💻 **PoC 情况**：已有现成利用代码。 🔗 **来源**：GitHub 上有详细的分析脚本（如 `jammy0903` 和 `vulhub` 提供的复现环境），Nuclei 模板也已收录。

🔎 **自查方法**： 1. 检查 Jetty 版本是否在受影响范围内。 2. 构造包含 `%2e` 或 `%2e%2e` 的 URI 请求 WEB-INF 路径。 3. 观察响应是否返回了非预期的内部资源内容。

🛡️ **官方修复**：已发布安全公告（GHSA-v7ff-8wcx-gmc5）。 💡 **建议**：升级至 **9.4.39** 或更高版本以彻底修复。

⚠️ **临时规避**： 1. 升级 Jetty 版本。 2. 若无法升级，检查 Web 应用配置，确保 **WEB-INF** 目录未被错误地映射为可公开访问的资源路径。 3. 部署 WAF 拦截包含异常路径遍历特征的请求。

🔥 **优先级**：**高**。 📢 **理由**：CVSS 评分中等（3.1），但利用极其简单且无需认证，直接导致敏感信息泄露，建议立即排查并升级。