Jetty WEB-INF文件读取(CVE-2021-34429)

漏洞描述：

可以使用一些编码字符来制作URI，以访问WEB-INF目录的内容和/或绕过一些安全限制。默认合规模式允许带有包含 %u002e 段的 URI 的请求访问WEB-INF目录中的受保护资源。

例如，/%u002e/WEB-INF/web.xml可以检索 web.xml 文件的请求。这可能会泄露有关 Web 应用程序实现的敏感信息。同样，编码的空字符可能会阻止正确的规范化，因此/.%00/WEB-INF/web.xml也会检索 web.xml 文件。此漏洞是CVE-2021-28164和CVE-2021-28169的新的绕过方式。

复现过程：

1.访问ip：port

2.访问不存在的页面

3.使用BurpSuite抓包，直接访问/WEB-INF/web.xml将会返回404页面

4.使用/%u002e/WEB-INF/web.xml来绕过限制下载web.xml

修复建议：

1.使用补丁版本，如9.4.43, 10.0.6, 11.0.6

2.官网建议，可以部署一些 Jetty重写规则，将原始请求 URI 中包含编码点段或空字符的任何请求重写为已知未找到的资源（https://github.com/eclipse/jetty.project/security/advisories/GHSA-vjv5-gp2w-65vm）