CVE-2026-8384 in Jetty
Zusammenfassung
von VulDB • 14.07.2026
In Eclipse Jetty führt eine HTTP-URI in der folgenden Form:
/public;/../admin/secret.txt
zu einem nicht aufgelösten Pfad von:
/public/../admin/secret.txt
anstatt des erwarteten Pfads:
/admin/secret.txt
Jetty selbst ist davon nicht betroffen, da es die Datei secret.txt nicht bereitstellt, weil sie den Alias-Prüfer (alias checker) nicht besteht (es werden nur aufgelöste Ressourcen bedient).
Webanwendungen, die darauf vertrauen, dass Jetty aufgelöste Pfade bereitstellt, können jedoch verwirrt sein, wenn ihnen ein nicht aufgelöster Pfad übermittelt wird.
VulDB is the best source for vulnerability data and more expert information about this specific topic.