CVE-2021-28169 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Eclipse Jetty 的 ConcatServlet 存在双重编码路径解析缺陷。 💥 **后果**：攻击者可绕过安全限制，访问 **WEB-INF** 下的受保护资源，导致 **敏感信息泄露**。

🔍 **CWE**：CWE-200（信息泄露）。 🐛 **缺陷点**：对 ConcatServlet 的请求使用了 **双重编码**，导致服务器错误解析路径，未能正确拦截对内部目录的访问。

📦 **组件**：Eclipse Jetty（Java Web 服务器/Servlet 容器）。 📉 **受影响版本**： - 9.4.40 及之前 - 10.0.2 及之前 - 11.0.2 及之前

🕵️ **黑客能力**： - 读取 **WEB-INF** 目录下的配置文件或类文件。 - 获取 **敏感信息**（如源码、配置密钥）。 - 可能用于进一步攻击或修改数据。

📶 **利用门槛**： - **无需认证** (PR:N)。 - **无需用户交互** (UI:N)。 - **攻击复杂度低** (AC:L)。 - 通过网络即可远程利用 (AV:N)。

🧪 **PoC 情况**： - 已有公开 **Nuclei 模板**。 - 有 **Vulhub** 复现环境。 - GitHub 上有详细利用说明文档。 - **利用门槛低**，现成工具多。

🔎 **自查方法**： - 检查 Jetty 版本是否在上述 **受影响列表** 中。 - 使用 Nuclei 模板扫描 ConcatServlet 路径。 - 尝试发送 **双重编码** 的 URL 请求，观察是否返回 WEB-INF 内容。

🛡️ **官方修复**： - 漏洞发布于 **2021-06-09**。 - 参考链接显示 Kafka 和 Zookeeper 已升级 Jetty 至 **9.4.41/9.4.42** 以修复此问题。 - **建议升级**至 9.4.41+、10.0.3+ 或 11.0.3+。

🚧 **临时规避**： - 若无法升级，可考虑 **禁用** 或 **移除** ConcatServlet 组件。 - 配置 WAF 拦截包含 **双重编码** 且指向 WEB-INF 的请求。 - 限制对 Jetty 管理接口的网络访问。

⚡ **优先级**：**高**。 - CVSS 评分虽为 **L (Low)**，但 **无需认证** 且 **远程利用**。 - 信息泄露风险大，建议 **尽快升级** 或实施缓解措施。