CVE编号
CVE-2021-28168利用情况
暂无补丁情况
官方补丁披露时间
2021-04-23漏洞描述
Eclipse Jersey 2.28到2.33和Eclipse Jersey 3.0.0到3.0.1包含一个本地信息泄露漏洞。这是由于File的使用。createTempFile在系统临时目录中创建一个具有此权限的文件:-rw-r--r--,该文件的内容可由系统本地的所有其他用户查看,如果所写的内容是安全敏感的,它可以被披露给其他本地用户。
解决建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://github.com/eclipse-ee4j/jersey/security/advisories/GHSA-c43q-5hpj-4crv
参考链接 |
|
|---|---|
| https://github.com/eclipse-ee4j/jersey/pull/4712 | |
| https://github.com/eclipse-ee4j/jersey/security/advisories/GHSA-c43q-5hpj-4crv | |
| https://lists.apache.org/thread.html/r2721aba31a8562639c4b937150897e24f78f747... | |
| https://lists.apache.org/thread.html/r280438f7cb4b3b1c9dfda9d7b05fa2a5cfab686... | |
| https://lists.apache.org/thread.html/r305fb82e5c005143c1e2ec986a19c0a44f42189... | |
| https://lists.apache.org/thread.html/r4066176a7352e021d7a81af460044bde8d57f40... | |
| https://lists.apache.org/thread.html/r42fef440487a04cf5e487a9707ef5119d2dd5b8... | |
| https://lists.apache.org/thread.html/r454f38e85db149869c5a92c993c402260a4f859... | |
| https://lists.apache.org/thread.html/r6dadc8fe82071aba841d673ffadf34728bff435... | |
| https://lists.apache.org/thread.html/r96658b899fcdbf04947257d201dc5a0abdbb5fb... | |
| https://lists.apache.org/thread.html/ra2722171d569370a9e15147d9f3f6138ad9a188... | |
| https://lists.apache.org/thread.html/ra3290fe51b4546fac195724c4187c4cb7fc5809... | |
| https://lists.apache.org/thread.html/ra3d7cd37fc794981a885332af2f8df0d8737533... | |
| https://lists.apache.org/thread.html/rafc3c4cee534f478cbf8acf91e48373e291a211... | |
| https://lists.apache.org/thread.html/rc288874c330b3af9e29a1a114c5e0d24fff7a79... | |
| https://lists.apache.org/thread.html/rc6221670de35b819fe191e7d8f2d17bc000549b... | |
| https://lists.apache.org/thread.html/rd54b42edccc1b993853a9c4943a9b16db763f5e... | |
| https://lists.apache.org/thread.html/rdff6939e6c8dd620e20b013d9a35f57d42b3cd1... |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | eclipse | jersey | * |
From (including) 2.28 |
Up to (excluding) 2.34 |
||||
| 运行在以下环境 | |||||||||
| 应用 | eclipse | jersey | * |
From (including) 3.0.0 |
Up to (excluding) 3.0.2 |
||||
- 攻击路径 本地
- 攻击复杂度 复杂
- 权限要求 无需权限
- 影响范围 有限影响
- EXP成熟度 未验证
- 补丁情况 官方补丁
- 数据保密性 数据泄露
- 数据完整性 无影响
- 服务器危害 无影响
- 全网数量 N/A
还没有评论,来说两句吧...