CVE-2026-8384 in Jetty
要約
〜によって VulDB • 2026年07月14日
Eclipse Jettyにおいて、`/public;/../admin/secret.txt` という形式のHTTP URIは、期待される `/admin/secret.txt` ではなく、未解決パスである `/public/../admin/secret.txt` を引き起こします。Jetty自体には影響がありません。これは、エイリアスチェックを通過しないため(提供されるのは解決済みのリソースのみ)、秘密ファイル `secret.txt` が配信されないからです。
ただし、Jettyから解決済みパスが提供されることを前提としているWebアプリケーションは、未解決パスを受信した際に混乱する可能性があります。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.