Eclipse Jetty是一个开源的servlet容器，它为基于Java的Web容器提供运行环境。Jetty在9.4.40后修复了因为%2e导致的敏感信息泄露漏洞CVE-2021-28164，但这个修复是不完全的，通过下面三种方式可以进行绕过：unicode形式URL编码：/%u002e/WEB-INF/web.xml组合.导致的绕过：/.%00/WEB-INF/web.xml组合..导致的绕过：/a/b/..%00/WEB-INF/web.xml影响版本：9.4.37-9.4.42, 10.0.1-10.0.5, 11.0.1-11.0.5

升级版本