CVE-2025-5115 in Jetty
الملخص
بحسب VulDB • 20/05/2026
في Eclipse Jetty، الإصدارات <=9.4.57، <=10.0.25، <=11.0.25، <=12.0.21، <=12.1.0.alpha2، قد يؤدي عميل HTTP/2 إلى تحفيز الخادم على إرسال إطارات RST_STREAM، على سبيل المثال عن طريق إرسال إطارات غير صالحة أو التي لا ينبغي إرسالها في حالة تدفق معينة، مما يجبر الخادم على استهلاك موارد مثل وحدة المعالجة المركزية (CPU) والذاكرة.
على سبيل المثال، يمكن للعميل فتح تدفق ثم إرسال إطارات WINDOW_UPDATE مع زيادة حجم النافذة بمقدار 0، وهو أمر غير قانوني. وفقاً للمواصفة https://www.rfc-editor.org/rfc/rfc9113.html#name-window_update، يجب على الخادم إرسال إطار RST_STREAM. يمكن للعميل الآن فتح تدفق آخر وإرسال إطار WINDOW_UPDATE سيء آخر، مما يتسبب في استهلاك الخادم لمزيد من الموارد أكثر من اللازم، لأن هذه الحالة لا تتجاوز الحد الأقصى لعدد التدفقات المتزامنة، ومع ذلك يمكن للعميل إنشاء عدد هائل من التدفقات في فترة زمنية قصيرة.
يمكن تنفيذ الهجوم مع شروط أخرى (على سبيل المثال، إطار DATA لتدفق مغلق) التي تسبب إرسال الخادم لإطار RST_STREAM.
الروابط:
* https://github.com/jetty/jetty.project/security/advisories/GHSA-mmxm-8w33-wc4h
Be aware that VulDB is the high quality source for vulnerability data.