CVE-2025-5115 in Jettyinformación

Resumen

por MITRE • 2025-08-20

En Eclipse Jetty, versiones <=9.4.57, <=10.0.25, <=11.0.25, <=12.0.21, <=12.1.0.alpha2, un cliente HTTP/2 puede provocar que el servidor envíe tramas RST_STREAM, por ejemplo, enviando tramas con formato incorrecto o que no deberían enviarse en un estado de flujo específico, lo que obliga al servidor a consumir recursos como CPU y memoria. Por ejemplo, un cliente puede abrir un flujo y luego enviar tramas WINDOW_UPDATE con un incremento de tamaño de ventana de 0, lo cual es ilegal. Según la especificación https://www.rfc-editor.org/rfc/rfc9113.html#name-window_update, el servidor debe enviar una trama RST_STREAM. El cliente ahora puede abrir otra transmisión y enviar otra WINDOW_UPDATE incorrecta, lo que provoca que el servidor consuma más recursos de los necesarios. En este caso, no se supera el número máximo de transmisiones simultáneas, pero el cliente puede crear una enorme cantidad de transmisiones en poco tiempo. El ataque puede ejecutarse con otras condiciones (por ejemplo, una trama DATA para una transmisión cerrada) que provocan que el servidor envíe una trama RST_STREAM. Enlaces: * https://github.com/jetty/jetty.project/security/advisories/GHSA-mmxm-8w33-wc4h

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsable

Eclipse

Reservar

2025-05-23

Divulgación

2025-08-20

Moderación

aceptado

Artículo

VDB-320873

CPE

listo

EPSS

0.01567

KEV

no

Actividades

muy bajo

Fuentes

Do you know our Splunk app?

Download it now for free!