CVE-2025-5115 in Jettyالمعلومات

الملخص

بحسب VulDB • 20/05/2026

في Eclipse Jetty، الإصدارات <=9.4.57، <=10.0.25، <=11.0.25، <=12.0.21، <=12.1.0.alpha2، قد يؤدي عميل HTTP/2 إلى تحفيز الخادم على إرسال إطارات RST_STREAM، على سبيل المثال عن طريق إرسال إطارات غير صالحة أو التي لا ينبغي إرسالها في حالة تدفق معينة، مما يجبر الخادم على استهلاك موارد مثل وحدة المعالجة المركزية (CPU) والذاكرة.

على سبيل المثال، يمكن للعميل فتح تدفق ثم إرسال إطارات WINDOW_UPDATE مع زيادة حجم النافذة بمقدار 0، وهو أمر غير قانوني. وفقاً للمواصفة https://www.rfc-editor.org/rfc/rfc9113.html#name-window_update، يجب على الخادم إرسال إطار RST_STREAM. يمكن للعميل الآن فتح تدفق آخر وإرسال إطار WINDOW_UPDATE سيء آخر، مما يتسبب في استهلاك الخادم لمزيد من الموارد أكثر من اللازم، لأن هذه الحالة لا تتجاوز الحد الأقصى لعدد التدفقات المتزامنة، ومع ذلك يمكن للعميل إنشاء عدد هائل من التدفقات في فترة زمنية قصيرة.

يمكن تنفيذ الهجوم مع شروط أخرى (على سبيل المثال، إطار DATA لتدفق مغلق) التي تسبب إرسال الخادم لإطار RST_STREAM.



الروابط:



* https://github.com/jetty/jetty.project/security/advisories/GHSA-mmxm-8w33-wc4h

Be aware that VulDB is the high quality source for vulnerability data.

مسؤول

Eclipse

حجز

23/05/2025

إفشاء

20/08/2025

الاعتدال

تمت الموافقة

إدخال

VDB-320873

EPSS

0.01567

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you want to use VulDB in your project?

Use the official API to access entries easily!