正文

Eclipse Jetty 跨站脚本漏洞

admin
admin V管理员 /0 评论 /15 阅读
0423
此篇文章发布距今已超过1151天,您需要注意文章的内容或图片是否可用!

CVE编号

CVE-2019-10241

利用情况

暂无

补丁情况

官方补丁

披露时间

2019-04-23
漏洞描述
Eclipse Jetty是Eclipse基金会的一个开源的、基于Java的Web服务器和Java Servlet容器。 Eclipse Jetty 9.2.26及之前版本、9.3.25及之前版本和9.4.15及之前版本中存在跨站脚本漏洞,该漏洞源于WEB应用缺少对客户端数据的正确验证。攻击者可利用该漏洞执行客户端代码。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
https://bugs.eclipse.org/bugs/show_bug.cgi?id=546121
https://lists.apache.org/thread.html/01e004c3f7c7365863a27e7038b7f32dae56ccf3...
https://lists.apache.org/thread.html/053d9ce4d579b02203db18545fee5e33f35f2932...
https://lists.apache.org/thread.html/464892b514c029dfc0c8656a93e1c0de983c473d...
https://lists.apache.org/thread.html/519eb0fd45642dcecd9ff74cb3e71c20a4753f7d...
https://lists.apache.org/thread.html/8bff534863c7aaf09bb17c3d0532777258dd3a5c...
https://lists.apache.org/thread.html/ac51944aef91dd5006b8510b0bef337adaccfe96...
https://lists.apache.org/thread.html/bcfb37bfba7b3d7e9c7808b5e5a38a98d6bb714d...
https://lists.apache.org/thread.html/d7c4a664a34853f57c2163ab562f39802df5cf80...
https://lists.apache.org/thread.html/f9bc3e55f4e28d1dcd1a69aae6d53e609a758e34...
https://lists.debian.org/debian-lts-announce/2021/05/msg00016.html
https://security.netapp.com/advisory/ntap-20190509-0003/
https://www.debian.org/security/2021/dsa-4949
https://www.oracle.com/security-alerts/cpuoct2020.html
https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 eclipse jetty 9.2.0 -
运行在以下环境
应用 eclipse jetty 9.2.1 -
运行在以下环境
应用 eclipse jetty 9.2.10 -
运行在以下环境
应用 eclipse jetty 9.2.11 -
运行在以下环境
应用 eclipse jetty 9.2.12 -
运行在以下环境
应用 eclipse jetty 9.2.13 -
运行在以下环境
应用 eclipse jetty 9.2.14 -
运行在以下环境
应用 eclipse jetty 9.2.15 -
运行在以下环境
应用 eclipse jetty 9.2.16 -
运行在以下环境
应用 eclipse jetty 9.2.17 -
运行在以下环境
应用 eclipse jetty 9.2.18 -
运行在以下环境
应用 eclipse jetty 9.2.19 -
运行在以下环境
应用 eclipse jetty 9.2.2 -
运行在以下环境
应用 eclipse jetty 9.2.20 -
运行在以下环境
应用 eclipse jetty 9.2.21 -
运行在以下环境
应用 eclipse jetty 9.2.22 -
运行在以下环境
应用 eclipse jetty 9.2.23 -
运行在以下环境
应用 eclipse jetty 9.2.24 -
运行在以下环境
应用 eclipse jetty 9.2.25 -
运行在以下环境
应用 eclipse jetty 9.2.26 -
运行在以下环境
应用 eclipse jetty 9.2.3 -
运行在以下环境
应用 eclipse jetty 9.2.4 -
运行在以下环境
应用 eclipse jetty 9.2.5 -
运行在以下环境
应用 eclipse jetty 9.2.6 -
运行在以下环境
应用 eclipse jetty 9.2.7 -
运行在以下环境
应用 eclipse jetty 9.2.8 -
运行在以下环境
应用 eclipse jetty 9.2.9 -
运行在以下环境
应用 eclipse jetty 9.3.0 -
运行在以下环境
应用 eclipse jetty 9.3.1 -
运行在以下环境
应用 eclipse jetty 9.3.10 -
运行在以下环境
应用 eclipse jetty 9.3.11 -
运行在以下环境
应用 eclipse jetty 9.3.12 -
运行在以下环境
应用 eclipse jetty 9.3.13 -
运行在以下环境
应用 eclipse jetty 9.3.14 -
运行在以下环境
应用 eclipse jetty 9.3.15 -
运行在以下环境
应用 eclipse jetty 9.3.16 -
运行在以下环境
应用 eclipse jetty 9.3.17 -
运行在以下环境
应用 eclipse jetty 9.3.18 -
运行在以下环境
应用 eclipse jetty 9.3.19 -
运行在以下环境
应用 eclipse jetty 9.3.2 -
运行在以下环境
应用 eclipse jetty 9.3.20 -
运行在以下环境
应用 eclipse jetty 9.3.21 -
运行在以下环境
应用 eclipse jetty 9.3.22 -
运行在以下环境
应用 eclipse jetty 9.3.23 -
运行在以下环境
应用 eclipse jetty 9.3.24 -
运行在以下环境
应用 eclipse jetty 9.3.25 -
运行在以下环境
应用 eclipse jetty 9.3.3 -
运行在以下环境
应用 eclipse jetty 9.3.4 -
运行在以下环境
应用 eclipse jetty 9.3.5 -
运行在以下环境
应用 eclipse jetty 9.3.6 -
运行在以下环境
应用 eclipse jetty 9.3.7 -
运行在以下环境
应用 eclipse jetty 9.3.8 -
运行在以下环境
应用 eclipse jetty 9.3.9 -
运行在以下环境
应用 eclipse jetty 9.4.0 -
运行在以下环境
应用 eclipse jetty 9.4.1 -
运行在以下环境
应用 eclipse jetty 9.4.10 -
运行在以下环境
应用 eclipse jetty 9.4.11 -
运行在以下环境
应用 eclipse jetty 9.4.12 -
运行在以下环境
应用 eclipse jetty 9.4.13 -
运行在以下环境
应用 eclipse jetty 9.4.14 -
运行在以下环境
应用 eclipse jetty 9.4.15 -
运行在以下环境
应用 eclipse jetty 9.4.2 -
运行在以下环境
应用 eclipse jetty 9.4.3 -
运行在以下环境
应用 eclipse jetty 9.4.4 -
运行在以下环境
应用 eclipse jetty 9.4.5 -
运行在以下环境
应用 eclipse jetty 9.4.6 -
运行在以下环境
应用 eclipse jetty 9.4.7 -
运行在以下环境
应用 eclipse jetty 9.4.8 -
运行在以下环境
应用 eclipse jetty 9.4.9 -
运行在以下环境
系统 debian_10 jetty9 * Up to
(excluding)
9.4.16-0+deb10u1
运行在以下环境
系统 debian_9 jetty9 * Up to
(excluding)
9.2.30-0+deb9u1
阿里云评分 4.9
  • 攻击路径 远程
  • 攻击复杂度 复杂
  • 权限要求 无需权限
  • 影响范围 越权影响
  • EXP成熟度 未验证
  • 补丁情况 官方补丁
  • 数据保密性 无影响
  • 数据完整性 无影响
  • 服务器危害 无影响
  • 全网数量 100
CWE-ID 漏洞类型 CWE-79 在Web页面生成时对输入的转义处理不恰当(跨站脚本)