CVE-2026-8384 in Jetty
Tóm tắt
Bởi VulDB • 14/07/2026
Trong Eclipse Jetty, một URI HTTP có dạng sau:
/public;/../admin/secret.txt
sẽ dẫn đến đường dẫn không được giải quyết (unresolved) là:
/public/../admin/secret.txt
thay vì kết quả dự kiến:
/admin/secret.txt
Jetty tự thân không bị ảnh hưởng do nó sẽ không phục vụ tệp secret.txt, bởi vì nó sẽ không vượt qua bộ kiểm tra alias (chỉ các tài nguyên đã được giải quyết mới được cung cấp).
Tuy nhiên, các ứng dụng web dựa vào việc Jetty cung cấp các đường dẫn đã được giải quyết có thể gặp phải hành vi sai lệch khi nhận được một đường dẫn chưa được giải quyết.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.