关键信息 漏洞标题 标题: 模糊路径可以访问WEB-INF 漏洞详情 严重性: 中等 (5.3/10) CVE ID: CVE-2021-28164 CVSS v3 基本指标: - 攻击向量: 网络 - 攻击复杂度: 低 - 需要的权限: 无 - 用户交互: 无 - 范围: 未更改 - 机密性: 低 - 完整性: 无 - 可用性: 无 CVSS值: 3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N 影响 受影响的包: org.eclipse.jetty:jetty-webapp (Maven) 受影响的版本: 9.4.37.v20210219, 9.4.38.v20210222 补丁版本: 9.4.39 描述: 版本9.4.37引入了对RFC3986更精确的实现,以及一些新的合规模式来支持Servlet规范API方法的一些可能存在歧义解释的URI。默认模式允许对URI正规化中应排除的%编码.字符进行访问,这符合RFC,但不能被常见的Servlet实现假设。 影响: 默认合规模式允许包含%2e或%2e%2e段的URI访问WEB-INF目录内的受保护资源。例如,对/context/%2e/WEB-INF/web.xml的请求可以获取web.xml文件。这可能揭示有关web应用程序实现的敏感信息。 解决方案和变通方法 变通方法: 可以通过在start.d/http.ini中添加 来启用HTTP合规模式RFC7230_NO_AMBIGUOUS_URIS。 弱点: CWE-200(CSRF), CWE-551(CSP) 贡献者: charlesk40 (分析师)