根據應用程式自我報告的版本號，遠端 Web 伺服器上託管的 Jetty 執行個體為 9.4.39 之前版本、10.0.2 之前的 10.0.x 版或 11.0.2 之前的 11.0.x 版。因此會受到多個弱點影響：

 - CPU 使用率可因大型無效 TLS 幀而達到 100%。(CVE-2021-28165)

 - 以編碼路徑存取時，允許存取 WEB-INF 目錄內受保護的資源。(CVE-2021-28164)

 - 使用符號連結的 webapps 目錄時，webapps 目錄的內容會部署為靜態 webapp。(CVE-2021-28163)

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

因此，此版本會受到 ALAS2-2025-2871 公告中提及的一個弱點影響。

    在 Eclipse Jetty 7.2.2 至 9.4.38、10.0.0.alpha0 至 10.0.1以及 11.0.0.alpha0 至 11.0.1中CPU 使用率會在收到大型的無效 TLS 框架時達到 100%。 (CVE-2021-28165)

Tenable 已直接從所測試產品的安全公告擷取前置描述區塊。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 Web 伺服器上執行的 Jenkins Enterprise 或 Jenkins Operations Center 版本為早於 2.249.31.0.1 的 2.249.x 版本或早於 2.277.3.1 的 2.x 版本。因此會受到因 Winstone-Jetty 問題所導致的拒絕服務弱點影響。未經驗證的遠端攻擊者可加以惡意利用，傳送大量無效的 SSL/TLS 框架，導致 CPU 使用率達到 100% 並造成系統停止回應。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

根據其自我報告的版本號碼，遠端 Web 伺服器上執行的 Jenkins 是 Jenkins LTS 2.277.3 之前版本或 Jenkins 每週版的 2.286 之前版本。因此，該軟體受到一個弱點影響：

  - 在 Eclipse Jetty 7.2.2 至 9.4.38、10.0.0.alpha0 至 10.0.1 和 11.0.0.alpha0 至 11.0.1 中，收到大量的無效 TLS 框架時，CPU 使用率可達到 100％。(CVE-2021-28165)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼。

遠端 Redhat Enterprise Linux 7/8 主機上安裝的套件受到 RHSA-2021: 1551 公告中提及的多個弱點影響。

  - golang：math/big：在非常大的數字進行遞迴分割時發生錯誤 (CVE-2020-28362)

  - jenkins：代理程式相關的 REST API 中缺少類型驗證 (CVE-2021-21639)

  - jenkins：檢視名稱驗證繞過 (CVE-2021-21640)

  - jetty：符號連結目錄洩漏 webapp 目錄內容 (CVE-2021-28163)

  - jetty：收到無效的大型 TLS 框架時資源耗盡 (CVE-2021-28165)

  - golang：crypto/elliptic：P-224 曲線上的錯誤作業 (CVE-2021-3114)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件，且供應商未提供可用的修補程式。

  - 在 Eclipse Jetty 7.2.2 至 9.4.38、10.0.0.alpha0 至 10.0.1 和 11.0.0.alpha0 至 11.0.1 中，收到大量的無效 TLS 框架時，CPU 使用率可達到 100％。(CVE-2021-28165)

請注意，Nessus 依賴供應商報告的套件存在。

遠端 Redhat Enterprise Linux 7 主機上安裝的套件受到 RHSA-2021: 1509 公告中提及的多個弱點影響。

  - jetty：符號連結目錄洩漏 webapp 目錄內容 (CVE-2021-28163)

  - jetty：不明確的路徑可存取 WEB-INF (CVE-2021-28164)

  - jetty：收到無效的大型 TLS 框架時資源耗盡 (CVE-2021-28165)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

ID	名稱	產品	系列	已發布	已更新	嚴重性
112993	Jetty < 9.4.39 多個弱點	Web App Scanning	Component Vulnerability	2021/10/4	2023/3/14	high
112994	Jetty 10.0.x < 10.0.2 多個弱點	Web App Scanning	Component Vulnerability	2021/10/4	2023/3/14	high
112995	Jetty 11.0.x < 11.0.2 多個弱點	Web App Scanning	Component Vulnerability	2021/10/4	2023/3/14	high
237475	Amazon Linux 2：jetty (ALAS-2025-2871)	Nessus	Amazon Linux Local Security Checks	2025/5/29	2025/5/29	high
155587	Jenkins Enterprise and Operations Center < 2.249.31.0.1 / 2.277.3.1 DoS (CloudBees 安全性公告 2021-04-20)	Nessus	CGI abuses	2021/11/18	2024/6/4	high
148975	Jenkins LTS < 2.277.3 / Jenkins 每週版 < 2.286	Nessus	CGI abuses	2021/4/23	2024/6/5	high
149793	RHEL 7/8：OpenShift Container Platform 4.7.11 (RHSA-2021: 1551)	Nessus	Red Hat Local Security Checks	2021/5/20	2024/11/8	medium
223714	Linux Distros 未修補弱點：CVE-2021-28165	Nessus	Misc.	2025/3/4	2025/8/18	high
149318	RHEL 7：rh-eclipse-jetty (RHSA-2021: 1509)	Nessus	Red Hat Local Security Checks	2021/5/6	2024/11/7	medium

偵測

搜尋 Plugin

high

high

high

high

high

high

medium

high

medium