CVE-2025-5115 in Jettyinformation

Résumé

par VulDB • 27/05/2026

Chez Eclipse Jetty, les versions <=9.4.57, <=10.0.25, <=11.0.25, <=12.0.21, <=12.1.0.alpha2, un client HTTP/2 peut amener le serveur à envoyer des frames RST_STREAM, par exemple en envoyant des frames malformées ou qui ne devraient pas être envoyées dans un état de flux particulier, forçant ainsi le serveur à consommer des ressources telles que le CPU et la mémoire.

Par exemple, un client peut ouvrir un flux, puis envoyer des frames WINDOW_UPDATE avec une incrémentation de taille de fenêtre de 0, ce qui est illégal. Conformément à la spécification https://www.rfc-editor.org/rfc/rfc9113.html#name-window_update, le serveur doit envoyer une frame RST_STREAM. Le client peut maintenant ouvrir un autre flux et envoyer une autre WINDOW_UPDATE incorrecte, entraînant ainsi une consommation de ressources plus importante que nécessaire par le serveur, car ce cas ne dépasse pas le nombre maximal de flux simultanés, mais le client est capable de créer un nombre énorme de flux en une courte période.

L'attaque peut être réalisée dans d'autres conditions (par exemple, une frame DATA pour un flux fermé) qui amènent le serveur à envoyer une frame RST_STREAM.

Liens :

* https://github.com/jetty/jetty.project/security/advisories/GHSA-mmxm-8w33-wc4h

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsable

Eclipse

Réserver

23/05/2025

Divulgation

20/08/2025

Modérer

accepté

Entrée

VDB-320873

CPE

prêt

EPSS

0.01567

KEV

non

Activités

très faible

Sources

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!