根据其自我报告的版本号，远程 Web 服务器上托管的 Jetty 实例版本低于 9.4.39，或为 10.0.2 之前的 10.0.x 版或 11.0.2 之前的 11.0.x 版。因此，该应用程序受到多个漏洞影响：

 - 存在一个问题，其中大量无效 TLS 框架的 CPU 使用率可能达到 100%。(CVE-2021-28165)

 - 存在一个问题，其中通过编码路径访问时允许访问 WEB-INF 目录中受保护的资源。(CVE-2021-28164)

 - 存在一个问题，当使用符号链接的 webapp 目录时，webapp 目录的内容会部署为静态 Webapp。(CVE-2021-28163)

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程 Web 服务器上运行的 Jenkins 版本低于 Jenkins LTS 2.277.3，或低于 Jenkins weekly 2.286。因此，该应用程序会受到漏洞的影响：

  - 在 Eclipse Jetty 7.2.2 至 9.4.38、10.0.0.alpha0 至 10.0.1 和 11.0.0.alpha0 至 11.0.1 中，CPU 使用率可在接收大型无效 TLS 框架时达到 100%。(CVE-2021-28165)

请注意，Nessus 尚未测试此问题，而是只依靠应用程序自我报告的版本号来判断。

远程 Redhat Enterprise Linux 7 主机上安装的程序包受到 RHSA-2021: 1509 公告中提及的多个漏洞的影响。

  - jetty：符号链接目录暴露 Webapp 目录内容 (CVE-2021-28163)

  - jetty：有歧义的路径可访问 WEB-INF (CVE-2021-28164)

  - jetty：接收无效的大型 TLS 框架时资源耗尽 (CVE-2021-28165)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Web 服务器上运行的 Jenkins Enterprise 或 Jenkins Operations Center 版本为低于 2.249.31.0.1 的 2.249.x 或低于 2.277.3.1 的 2.x。因此，该应用程序受到拒绝服务漏洞的影响，这是 Winstone-Jetty 问题所致。未经身份验证的远程攻击者可利用此问题，通过发送无效的大型 SSL/TLS 框架，造成 CPU 使用率达到 100%，并造成系统停止响应。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Oracle Siebel CRM 版本受到 2025 年 10 月 CPU 公告中提及的多个漏洞的影响。

  - 在低于版本 1.954的 Email-MIME 中存在内存过度使用问题 (CWE-770)其可在解析多部分 MIME 消息时造成拒绝服务。修补程序集 2020 年至 2024 年限制过度深度和零件总数。 (CVE-2024-4140)

  - 在 Eclipse Jetty 7.2.2 至 9.4.38、10.0.0.alpha0 至 10.0.1 和 11.0.0.alpha0 至 11.0.1 中，CPU 使用率可在接收大型无效 TLS 框架时达到 100%。(CVE-2021-28165)

  - 低于 4.5.13 和 5.0.3 版本的 Apache HttpClient 可将传递给库的请求 URI 中的畸形颁发机构组件错误解释为 java.net.URI 对象，并选择错误的目标主机用于执行请求。(CVE-2020-13956)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

因此，该程序受到 ALAS2-2025-2871 公告中提及的一个漏洞影响。

    在 Eclipse Jetty 7.2.2 至 9.4.38、10.0.0.alpha0 至 10.0.1和 11.0.0.alpha0 至 11.0.1中当接收到大型无效 TLS 帧时CPU 使用率可能达到 100%。 (CVE-2021-28165)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 7 / 8 主机上安装的程序包受到 RHSA-2021: 1551 公告中提及的多个漏洞影响。

  - golang：math/big：在极大数递归拆分期间发生的错误 (CVE-2020-28362)

  - jenkins：代理相关的 REST API 中缺少类型验证 (CVE-2021-21639)

  - jenkins：视图名称验证绕过 (CVE-2021-21640)

  - jetty：符号链接目录暴露 Webapp 目录内容 (CVE-2021-28163)

  - jetty：接收无效的大型 TLS 框架时资源耗尽 (CVE-2021-28165)

  - golang：crypto/elliptic：P-224 曲线操作错误 (CVE-2021-3114)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - 在 Eclipse Jetty 7.2.2 至 9.4.38、10.0.0.alpha0 至 10.0.1 和 11.0.0.alpha0 至 11.0.1 中，CPU 使用率可在接收大型无效 TLS 框架时达到 100%。(CVE-2021-28165)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
112993	Jetty < 9.4.39 多个漏洞	Web App Scanning	Component Vulnerability	2021/10/4	2023/3/14	high
112994	Jetty 10.0.x < 10.0.2 多个漏洞	Web App Scanning	Component Vulnerability	2021/10/4	2023/3/14	high
112995	Jetty 11.0.x < 11.0.2 多个漏洞	Web App Scanning	Component Vulnerability	2021/10/4	2023/3/14	high
148975	Jenkins LTS < 2.277.3 / Jenkins（每周）< 2.286	Nessus	CGI abuses	2021/4/23	2024/6/5	high
149318	RHEL 7：rh-eclipse-jetty (RHSA-2021: 1509)	Nessus	Red Hat Local Security Checks	2021/5/6	2024/11/7	medium
155587	Jenkins Enterprise 和 Operations Center < 2.249.31.0.1 / 2.277.3.1 DoS（CloudBees 安全公告 2021-04-20）	Nessus	CGI abuses	2021/11/18	2024/6/4	high
271379	低于 25.7 的Oracle Siebel 服务器2025 年 10 月 CPU	Nessus	Misc.	2025/10/24	2025/10/25	high
237475	Amazon Linux 2：jetty (ALAS-2025-2871)	Nessus	Amazon Linux Local Security Checks	2025/5/29	2025/10/30	high
149793	RHEL 7 / 8：OpenShift Container Platform 4.7.11 (RHSA-2021: 1551)	Nessus	Red Hat Local Security Checks	2021/5/20	2024/11/8	medium
223714	Linux Distros 未修补的漏洞: CVE-2021-28165	Nessus	Misc.	2025/3/4	2025/8/18	high

检测

插件搜索

high

high

high

high

medium

high

high

high

medium

high