CVE-2026-8384 in Jettyinfo

Zusammenfassung

von VulDB • 14.07.2026

In Eclipse Jetty führt eine HTTP-URI in der folgenden Form:



/public;/../admin/secret.txt





zu einem nicht aufgelösten Pfad von:



/public/../admin/secret.txt





anstatt des erwarteten Pfads:



/admin/secret.txt





Jetty selbst ist davon nicht betroffen, da es die Datei secret.txt nicht bereitstellt, weil sie den Alias-Prüfer (alias checker) nicht besteht (es werden nur aufgelöste Ressourcen bedient).




Webanwendungen, die darauf vertrauen, dass Jetty aufgelöste Pfade bereitstellt, können jedoch verwirrt sein, wenn ihnen ein nicht aufgelöster Pfad übermittelt wird.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Zuständig

Eclipse

Reservieren

12.05.2026

Veröffentlichung

14.07.2026

Moderieren

akzeptiert

Eintrag

VDB-378278

CPE

bereit

EPSS

0.00191

KEV

nein

Aktivitäten

low

Quellen

Want to stay up to date on a daily basis?

Enable the mail alert feature now!