从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 漏洞名称:URI parsing of invalid authority - 发布者:joakime - CVE编号:CVE-2024-6763 - 描述:Eclipse Jetty的HttpURI类在处理无效的URI时,对权威部分的验证不足,可能导致SSRF(Server-Side Request Forgery)攻击。 2. 受影响的组件: - 组件:org.eclipse.jetty:jetty-http - 受影响的版本范围:>=7.0.0, <=12.0.11 - 已修复的版本:12.0.12 3. 攻击概览: - 攻击方式:HttpURI类对无效的URI的权威部分验证不足,可能导致SSRF攻击。 - 攻击场景:当HttpURI类和Requester(如Chrome、Firefox和Safari)处理无效的URI时,攻击者可以利用此漏洞。 4. PoC(Proof of Concept): - 示例payloads: - http://browser.check &@vulndetector.com/ - http://browser.check #@vulndetector.com/ - http://browser.check?@vulndetector.com/ - http://browser.check@vulndetector.com/ - http://vulndetector.com/ 5. 影响: - 影响范围:仅限直接使用Jetty HttpURI的开发者。 - 缓解措施:升级到12.0.12版本,或在URI处理中使用更严格的验证。 6. 参考: - CWE-1286 - RFC9110 Section 4.2.4 这些信息可以帮助理解漏洞的性质、影响范围以及如何进行缓解。