CVE-2022-2047

BAIX: (2.7)

CVSS3: 2.4

Eclipse Jetty podria permetre a un atacant remot autenticat saltar-se les restriccions de seguretat, causat per un defecte en la classe HttpURI. En enviar una sol·licitud especialment dissenyada, un atacant podria explotar aquesta vulnerabilitat al HttpClient i ProxyServlet/AsyncProxyServlet/AsyncMiddleManServlet interpretant erròniament una autoritat sense host com una amb host.

Sistemes Afectats

• Eclipse Jetty 9.4.0
• Eclipse Jetty 10.0.0
• Eclipse Jetty 11.0.0
• Eclipse Jetty 9.4.46
• Eclipse Jetty 10.0.9
• Eclipse Jetty 11.0.9

Remediació
Actualitzi a l’última versió d’Eclipse Jetty (9.4.47, 10.0.10, 11.0.10 o posterior), disponible en el repositori GIT d’Eclipse.

Referències

• https://github.com/eclipse/jetty.project/security/advisories/GHSA-cj7v-27pg-wf7q
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-2047