微步情报局发现并协助修复EclipseJetty12路径穿越漏洞

admin 2026-07-17 04:32:06 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 微步发现Jetty12路径穿越漏洞CVE-2026-8384。该漏洞源于URI规范化缺陷,攻击者利用含分号路径参数结合目录遍历可绕过安全约束,未授权访问受保护资源。POC已公开且利用无需权限。建议尽快升级至12.0.35或12.1.9及以上版本,或在网关层拦截相关恶意请求。 综合评分: 82 文章分类: 漏洞预警,漏洞分析,WEB安全,应用安全


cover_image

微步情报局发现并协助修复Eclipse Jetty 12 路径穿越漏洞

微步情报局 微步情报局

微步在线研究响应中心

2026年7月16日 14:14 北京

在小说阅读器读本章

去阅读

漏洞概况

Eclipse Jetty 是一款由 Eclipse Foundation 维护的开源 Java HTTP 服务器和 Servlet 容器,广泛应用于企业级 Java 应用、微服务架构、嵌入式 Web 服务器及各类开源框架(如 Spring Boot)中,支持 HTTP/1.1、HTTP/2、WebSocket 等协议。

近日,Jetty官方修复了由微步情报局发现的 Eclipse Jetty 12 路径穿越漏洞(CVE-2026-8384),Jetty 在处理带有路径参数(Path Parameter)的 HTTP URI 时的规范化(Normalization)机制缺陷,当 URI 中包含分号(;)分隔的路径参数结合目录遍历序列(../)时,Jetty 未能正确解析和规范化路径。(完整漏洞情报请查阅https://x.threatbook.com/v5/vul/XVE-2026-14084)

针对依赖 Jetty 路径信息的自定义业务逻辑(例如使用Jetty的安全约束SecurityHandler.PathMapped/ConstraintMapping 保护某些路径,或者应用代码用 Request.getPathInContext() 做路径鉴权),攻击者可利用该漏洞绕过受保护路径的安全约束,未授权访问原本需要认证或特定角色权限的资源。

目前暂未发现关于该漏洞的大规模利用行为,但该漏洞易被用于针对特定应用的定向攻击,建议受影响用户尽快修复。

漏洞处置优先级(VPT)

综合处置优先级:高风险

| | | | | — | — | — | | 基本信息 | 微步编号 | XVE-2026-14084 | | CVE编号 | CVE-2026-8384 | | 漏洞类型 | 路径穿越 | | 利用条件评估 | 利用漏洞的网络条件 | 远程 | | 是否需要绕过安全机制 | 否 | | 对被攻击系统的要求 | 无 | | 利用漏洞的权限要求 | 无须权限 | | 是否需要受害者配合 | 否 | | 利用情报 | POC是否公开 | 是 | | 已知利用行为 | 暂无 |

漏洞影响范围

| | | | — | — | | 产品名称 | Eclipse Foundation Inc. | Jetty | | 受影响版本 | 12.0.0<=version<12.0.35、12.1.0<=version<12.1.9 | | 有无修复补丁 | 有 |

修复方案

官方修复方案

jetty官方已发布修复通告,请受影响的用户升级至12.0.35、12.1.9及以上版本。通告链接为: https://github.com/jetty/jetty.project/security/advisories/GHSA-w7x5-g22v-xqhr

临时缓解措施

1、在应用层避免直接信任 Request.getPathInContext()、canonicalPath() 等单一路径结果作为安全决策依据

2、使用反向代理、网关、负载均衡或安全防护系统拒绝包含 ;/../、;x/../、;/./、;x/./ 等路径参数的请求

微步产品支撑

微步漏洞情报于2026-04-16收录该漏洞。

微步下一代威胁情报平台NGTIP及X情报社区已向漏洞订阅用户推送该漏洞情报,并将持续推送后续更新;对于已经录入资产的用户,支持实时自动化排查受影响资产。

微步威胁感知平台TDP默认支持检测。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:微步在线研究响应中心 微步情报局 微步情报局《微步情报局发现并协助修复Eclipse Jetty 12 路径穿越漏洞》

评论:0   参与:  0