← voltar
CVE-2019-10241

CVE-2019-10241

EPSS 9.6%CWE-79
Em resumo

Servidores Eclipse Jetty podem exibir código malicioso no navegador ao mostrar listagens de diretórios se alguém acessar uma URL especialmente criada. Isso permite que atacantes roubem informações do usuário ou realizem ações em seu nome.

Detalhe técnico

Uma vulnerabilidade XSS refletida existe em DefaultServlet e ResourceHandler quando a listagem de diretórios está habilitada. O vetor de ataque envolve uma URL especialmente formatada que contorna a sanitização de entrada na saída da listagem de diretórios, permitindo execução arbitrária de JavaScript no contexto do navegador da vítima.

Resumo gerado e traduzido por IA a partir da descrição oficial.
In Eclipse Jetty version 9.2.26 and older, 9.3.25 and older, and 9.4.15 and older, the server is vulnerable to XSS conditions if a remote client USES a specially formatted URL against the DefaultServlet or ResourceHandler that is configured for showing a Listing of directory contents.
Produtos afetados
The Eclipse Foundation · Eclipse Jetty

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://bugs.eclipse.org/bugs/show_bug.cgi?id=546121https://lists.apache.org/thread.html/01e004c3f7c7365863a27e7038b7f32dae56ccf3a496b277c9b7f7b6%40%3Cjira.kafka.apache.org%3Ehttps://lists.apache.org/thread.html/053d9ce4d579b02203db18545fee5e33f35f2932885459b74d1e4272%40%3Cissues.activemq.apache.org%3Ehttps://lists.apache.org/thread.html/464892b514c029dfc0c8656a93e1c0de983c473df70fdadbd224e09f%40%3Cjira.kafka.apache.org%3Ehttps://lists.apache.org/thread.html/519eb0fd45642dcecd9ff74cb3e71c20a4753f7d82e2f07864b5108f%40%3Cdev.drill.apache.org%3Ehttps://lists.apache.org/thread.html/8bff534863c7aaf09bb17c3d0532777258dd3a5c7ddda34198cc2742%40%3Cdev.kafka.apache.org%3Ehttps://lists.apache.org/thread.html/ac51944aef91dd5006b8510b0bef337adaccfe962fb90e7af9c22db4%40%3Cissues.activemq.apache.org%3Ehttps://lists.apache.org/thread.html/bcfb37bfba7b3d7e9c7808b5e5a38a98d6bb714d52cf5162bdd48e32%40%3Cjira.kafka.apache.org%3Ehttps://lists.apache.org/thread.html/d7c4a664a34853f57c2163ab562f39802df5cf809523ea40c97289c1%40%3Cdev.kafka.apache.org%3Ehttps://lists.apache.org/thread.html/f9bc3e55f4e28d1dcd1a69aae6d53e609a758e34d2869b4d798e13cc%40%3Cissues.drill.apache.org%3Ehttps://lists.debian.org/debian-lts-announce/2021/05/msg00016.htmlhttps://security.netapp.com/advisory/ntap-20190509-0003/