CVE-2026-8384 in Jetty情報

要約

〜によって VulDB • 2026年07月14日

Eclipse Jettyにおいて、`/public;/../admin/secret.txt` という形式のHTTP URIは、期待される `/admin/secret.txt` ではなく、未解決パスである `/public/../admin/secret.txt` を引き起こします。Jetty自体には影響がありません。これは、エイリアスチェックを通過しないため(提供されるのは解決済みのリソースのみ)、秘密ファイル `secret.txt` が配信されないからです。

ただし、Jettyから解決済みパスが提供されることを前提としているWebアプリケーションは、未解決パスを受信した際に混乱する可能性があります。

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

責任者

Eclipse

予約する

2026年05月12日

モデレーション

承諾済み

エントリ

VDB-378278

EPSS

0.00198

アクティビティ

低い

ソース

Do you know our Splunk app?

Download it now for free!