| CVSS Puntuación meta temporal | Precio actual del exploit (≈) | Puntuación de interés CTI |
|---|---|---|
| 4.2 | $0-$5k | 0.00 |
Resumen
Se ha detectado una vulnerabilidad clasificada como problemática en Eclipse Jetty hasta 12.0.11. Se ve afectada una función desconocida del componente URL Parser. A través de la manipulación de un input desconocido se causa una vulnerabilidad de clase sconosciuta. Esta vulnerabilidad se registra como CVE-2024-6763. Es posible lanzar el ataque de forma remota. No se encuentra disponible ningún exploit. Es recomendable implementar un parche para resolver este problema.
Detalles
Una vulnerabilidad clasificada como problemática fue encontrada en Eclipse Jetty hasta 12.0.11. Una función desconocida del componente URL Parser es afectada por esta vulnerabilidad. Esto tiene repercusión sobre la la integridad. El resumen de CVE es:
Eclipse Jetty es un servidor web y motor de servlets basado en Java, ligero y altamente escalable. Incluye una clase de utilidad, HttpURI, para el análisis de URL/URL. La clase HttpURI realiza una validación insuficiente en el segmento de autoridad de una URI. Sin embargo, el comportamiento de HttpURI difiere de los navegadores comunes en cómo maneja una URI que se consideraría inválida si se validara completamente contra el RRC. Específicamente, HttpURI y el navegador pueden diferir en el valor del host extraído de una URI inválida y, por lo tanto, una combinación de Jetty y un navegador vulnerable puede ser vulnerable a un ataque de redireccionamiento abierto o a un ataque SSRF si la URI se usa después de pasar las verificaciones de validación.La vulnerabilidad fue publicada el por zer0yu con identificación 25 (confirmado). El advisory puede ser descargado de github.com. La vulnerabilidad es identificada como CVE-2024-6763. Es difícil de explotar. El ataque se puede hacer desde la red. La explotación no necesita ninguna autentificación específica. No se conoce los detalles técnicos ni hay ningún exploit disponible.
Para el scanner Nessus se dispone de un plugin ID 237536 (SUSE SLED15 / SLES15 / openSUSE 15 Security Update : jetty-minimal (SUSE-SU-2025:01738-1)), que puede ayudar a determinar la existencia del riesgo analizado.
Aplicando un parche es posible eliminar el problema. El parche puede ser descargado de github.com.
La vulnerabilidad también está documentado en las bases de datos Tenable (237536) y CERT Bund (WID-SEC-2024-3176). If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Afectado
- Debian Linux
- Amazon Linux 2
- IBM InfoSphere Information Server
- Red Hat Enterprise Linux
- SUSE Linux
- IBM Operational Decision Manager
- IBM Business Automation Workflow
- NetApp ActiveIQ Unified Manager
- SUSE openSUSE
- Eclipse Jetty
- IBM SPSS
- Hitachi Ops Center
- IBM QRadar SIEM
- Red Hat JBoss A-MQ
- IBM Installation Manager
- IBM Security Guardium
- IBM Tivoli Network Manager
- SolarWinds Platform
Producto
Proveedor
Nombre
Versión
Licencia
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Confiabilidad: 🔍
CVSSv3
VulDB Puntuación meta base: 4.2VulDB Puntuación meta temporal: 4.2
VulDB Puntuación base: 3.7
VulDB Puntuación temporal: 3.6
VulDB Vector: 🔍
VulDB Confiabilidad: 🔍
NVD Puntuación base: 5.3
NVD Vector: 🔍
CNA Puntuación base: 3.7
CNA Vector (eclipse): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complejidad | Autenticación | Confidencialidad | Integridad | Disponibilidad |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Puntuación base: 🔍
VulDB Puntuación temporal: 🔍
VulDB Confiabilidad: 🔍
Explotación
Clase: DesconocidoCWE: CWE-1286 / CWE-20
CAPEC: 🔍
ATT&CK: 🔍
Físico: No
Local: No
Remoto: Sí
Disponibilidad: 🔍
Estado: No está definido
EPSS Score: 🔍
EPSS Percentile: 🔍
Predicción de precios: 🔍
Estimación del precio actual: 🔍
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoy | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Nessus ID: 237536
Nessus Nombre: SUSE SLED15 / SLES15 / openSUSE 15 Security Update : jetty-minimal (SUSE-SU-2025:01738-1)
Inteligencia de amenazas
Interés: 🔍Actores activos: 🔍
Grupos APT activos: 🔍
Contramedidas
Recomendación: ParcheEstado: 🔍
Hora de 0 días: 🔍
Parche: github.com
Línea de tiempo
2024-07-15 🔍2024-10-14 🔍
2024-10-14 🔍
2026-01-29 🔍
Fuentes
Aviso: 25Investigador: zer0yu
Estado: Confirmado
CVE: CVE-2024-6763 (🔍)
GCVE (CVE): GCVE-0-2024-6763
GCVE (VulDB): GCVE-100-280277
CERT Bund: WID-SEC-2024-3176 - Eclipse Jetty: Mehrere Schwachstellen
Artículo
Fecha de creación: 2024-10-14 19:41Actualizado: 2026-01-29 10:22
Cambios: 2024-10-14 19:41 (65), 2024-11-09 03:27 (12), 2025-05-30 21:32 (2), 2026-01-29 10:22 (7)
Completo: 🔍
Cache ID: 216::103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Sin comentarios aún. Idiomas: es + pt + en.
Por favor, inicie sesión para comentar.