← volver
CVE-2019-10241

CVE-2019-10241

EPSS 9.6%CWE-79
En resumen

Los servidores Eclipse Jetty pueden ser engañados para mostrar código malicioso en el navegador al mostrar listados de directorios si alguien visita una URL especialmente creada. Esto permite que los atacantes roben información del usuario o realicen acciones en su nombre.

Detalle técnico

Existe una vulnerabilidad XSS reflejada en DefaultServlet y ResourceHandler cuando el listado de directorios está habilitado. El vector de ataque implica una URL especialmente formateada que elude la sanitización de entrada en la salida del listado de directorios, permitiendo la ejecución arbitraria de JavaScript en el contexto del navegador de la víctima.

Resumen generado y traducido por IA a partir de la descripción oficial.
In Eclipse Jetty version 9.2.26 and older, 9.3.25 and older, and 9.4.15 and older, the server is vulnerable to XSS conditions if a remote client USES a specially formatted URL against the DefaultServlet or ResourceHandler that is configured for showing a Listing of directory contents.
Productos afectados
The Eclipse Foundation · Eclipse Jetty

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://bugs.eclipse.org/bugs/show_bug.cgi?id=546121https://lists.apache.org/thread.html/01e004c3f7c7365863a27e7038b7f32dae56ccf3a496b277c9b7f7b6%40%3Cjira.kafka.apache.org%3Ehttps://lists.apache.org/thread.html/053d9ce4d579b02203db18545fee5e33f35f2932885459b74d1e4272%40%3Cissues.activemq.apache.org%3Ehttps://lists.apache.org/thread.html/464892b514c029dfc0c8656a93e1c0de983c473df70fdadbd224e09f%40%3Cjira.kafka.apache.org%3Ehttps://lists.apache.org/thread.html/519eb0fd45642dcecd9ff74cb3e71c20a4753f7d82e2f07864b5108f%40%3Cdev.drill.apache.org%3Ehttps://lists.apache.org/thread.html/8bff534863c7aaf09bb17c3d0532777258dd3a5c7ddda34198cc2742%40%3Cdev.kafka.apache.org%3Ehttps://lists.apache.org/thread.html/ac51944aef91dd5006b8510b0bef337adaccfe962fb90e7af9c22db4%40%3Cissues.activemq.apache.org%3Ehttps://lists.apache.org/thread.html/bcfb37bfba7b3d7e9c7808b5e5a38a98d6bb714d52cf5162bdd48e32%40%3Cjira.kafka.apache.org%3Ehttps://lists.apache.org/thread.html/d7c4a664a34853f57c2163ab562f39802df5cf809523ea40c97289c1%40%3Cdev.kafka.apache.org%3Ehttps://lists.apache.org/thread.html/f9bc3e55f4e28d1dcd1a69aae6d53e609a758e34d2869b4d798e13cc%40%3Cissues.drill.apache.org%3Ehttps://lists.debian.org/debian-lts-announce/2021/05/msg00016.htmlhttps://security.netapp.com/advisory/ntap-20190509-0003/