根据其自我报告的版本号，远程 Web 服务器上托管的 Jetty 实例版本低于 9.4.41，或为 10.0.3 之前的 10.0.x 版或 11.0.3 之前的 11.0.x 版。因此，该应用程序受到多个漏洞影响：

 - 存在一个问题，即 SessionListener#sessionDestroyed() 方法中出现异常后无法使会话失效。(CVE-2021-34428)

 - 存在一个问题，其中通过双重编码路径访问时允许访问 WEB-INF 目录中受保护的资源。(CVE-2021-28169)

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

因此，该程序受到 ALAS2-2025-2855 公告中提及的一个漏洞影响。

    对于 <= 9.4.40、<= 10.0.2、<= 11.0.2的 Eclipse Jetty 版本如果 SessionListener#sessionDestroyed() 方法抛出异常则会话 ID 不会在会话 ID 管理器中失效。在具有群集会话和多个上下文的部署中，这可能导致会话不会失效。这可能导致共享计算机上使用的应用程序保持登录状态。
    (CVE-2021-34428)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 IBM Cognos Analytics 版本低于 11.2.4 FP4 或 12.0.4。因此，它受到 7173592 公告中提及的多个漏洞影响。

  - formidable v3.1.4 中存在任意文件上传漏洞，允许攻击者通过特制的文件名执行任意代码。注意：部分第三方对此问题有争议，因为该产品存在相关常见用例，其中需要执行任意文件上传。此外，所有版本中均设有配置选项，可变更默认文件处理行为。Strapi 不认为这是一个有效漏洞。(CVE-2022-29622)

  - Node.js IP 程序包允许远程攻击者在系统上执行任意代码，这是由 ip.isPublic() 函数中的服务器端请求伪造缺陷造成的。攻击者可使用私有 IP 地址的十六进制表示发送特制请求，利用此漏洞在系统上执行任意代码并获取敏感信息。(CVE-2023-42282)   
  - 多个供应商可能会受到拒绝服务的影响，这是由 HTTP/2 协议中多路复用流处理中的缺陷引起的。通过在多个流上发送大量 HTTP/2 请求和 RST_STREAM 帧，远程攻击者可利用此漏洞造成服务器资源消耗，进而导致拒绝服务。(CVE-2023-44487)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 7 / 8 主机上安装的程序包受到 RHSA-2021: 3758 公告中提及的多个漏洞影响。

  - jetty：对 ConcatServlet 和 WelcomeFilter 的请求能够访问 WEB-INF 目录中受保护的资源 (CVE-2021-28169)

  - golang：archive/zip: 格式错误的存档可能会导致错误或内存耗尽 (CVE-2021-33196)

  - jetty：SessionListener 可防止会话无效中断注销 (CVE-2021-34428)

  - openvswitch：解码 RAW_ENCAP 操作期间，decode_NXAST_RAW_ENCAP 中存在释放后使用漏洞 (CVE-2021-36980)

  - coreos-installer：限制对 /boot/ignition{,/config.ign} 的访问权限 (CVE-2021-3917)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - 对于 <= 9.4.40、<= 10.0.2、<= 11.0.2 的 Eclipse Jetty 版本，如果从 SessionListener#sessionDestroyed() 方法抛出异常，则会话 ID 管理器中的会话 ID 不会失效。在具有群集会话和多个上下文的部署中，这可能导致会话不会失效。这可能导致共享计算机上使用的应用程序保持登录状态。
    (CVE-2021-34428)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

远程 Debian 10 主机上安装的多个程序包受到 dsa-4949 公告中提及的多个漏洞影响。

  - 在 Eclipse Jetty 版本 9.2.26 及更早版本、 9.3.25 及更早版本以及 9.4.15 及更早版本中，如果远程客户端针对 DefaultServlet 或 ResourceHandler 使用特殊格式的 URL，该 URL 配置为显示目录内容。(CVE-2019-10241)

  - 在 Eclipse Jetty 版本 7.x、8.x、9.2.27 和更旧版本、 9.3.26 和更旧版本以及 9.4.16 及更旧版本中，在任何 OS 和 Jetty 版本组合上运行的服务器将在输出中显示配置的完全限定目录库资源位置未找到符合请求的路径的 404 错误。jetty-distribution 和 jetty-home 上的默认服务器行为将在 Handler 树的末尾包括一个 DefaultHandler，它负责报告此 404 错误，它将各种配置的上下文显示为 HTML 供用户点击。此生成的 HTML 包括输出，其中包含为每个上下文配置的完全限定的目录库资源位置。
    (CVE-2019-10247)

  - 在 Eclipse Jetty 版本 1.0 至 9.4.32.v20200930、10.0.0.alpha1 至 10.0.0.beta2 和 11.0.0.alpha1 至 11.0.0.beta2O 的类似 Unix 的系统中，临时目录在该系统上的所有用户之间共享。并置用户可以观察在共享临时目录中创建临时子目录的过程并争用完成临时子目录的创建。如果攻击者在竞争中获胜，则他们将拥有用于解包 Web 应用程序的子目录的读取和写入权限，包括其 WEB-INF/lib jar 文件和 JSP 文件。如果曾在此临时目录外执行任何代码，则可能导致本地权限升级漏洞。 (CVE-2020-27216)

  - 在 Eclipse Jetty 9.4.6.v20170531 至 9.4.36.v20210114（含此版本）、 10.0.0 和 11.0.0 中，当 Jetty 处理包含多个具有大量质量（即 q）参数的请求时，服务器可能进入由于处理这些质量值的高 CPU 使用率而导致的拒绝服务 (DoS) 状态，导致处理这些质量值花费几分钟的 CPU 时间。(CVE-2020-27223)

  - Fluentd 2020-12-18 之前版本的 td-agent-builder 插件允许攻击者获取权限，因为用户帐户可写入 bin 目录，但 bin 中的文件作为 NT AUTHORITY\SYSTEM 执行。
    (CVE-2020-28169)

  - 对于 <= 9.4.40、<= 10.0.2、<= 11.0.2 的 Eclipse Jetty 版本，如果从 SessionListener#sessionDestroyed() 方法抛出异常，则会话 ID 管理器中的会话 ID 不会失效。在具有群集会话和多个上下文的部署中，这可能导致会话不会失效。这可能导致共享计算机上使用的应用程序保持登录状态。
    (CVE-2021-34428)

请注意，Nessus 尚未测试此问题，而是只依靠应用程序自我报告的版本号来判断。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
112990	Jetty < 9.4.41 多个漏洞	Web App Scanning	Component Vulnerability	2021/10/4	2023/3/14	medium
112991	Jetty 10.0.x < 10.0.3 多个漏洞	Web App Scanning	Component Vulnerability	2021/10/4	2023/3/14	medium
112992	Jetty 11.0.x < 11.0.3 多个漏洞	Web App Scanning	Component Vulnerability	2021/10/4	2023/3/14	medium
235888	Amazon Linux 2：jetty (ALAS-2025-2855)	Nessus	Amazon Linux Local Security Checks	2025/5/13	2025/5/13	low
213274	IBM Cognos Analytics 11.2.x < 11.2.4 FP4 / 12.0.x < 12.0.4 多个漏洞 (7173592)	Nessus	CGI abuses	2024/12/20	2025/4/3	critical
165134	RHEL 7 / 8：OpenShift Container Platform 4.9.0 程序包和 (RHSA-2021: 3758)	Nessus	Red Hat Local Security Checks	2022/9/15	2024/11/7	medium
223932	Linux Distros 未修补的漏洞: CVE-2021-34428	Nessus	Misc.	2025/3/5	2025/9/2	low
152224	Debian DSA-4949-1：jetty9 - 安全更新	Nessus	Debian Local Security Checks	2021/8/5	2023/12/6	critical

检测

插件搜索

medium

medium

medium

low

critical

medium

low

critical