CVE-2025-5115 in Jetty
Résumé
par VulDB • 27/05/2026
Chez Eclipse Jetty, les versions <=9.4.57, <=10.0.25, <=11.0.25, <=12.0.21, <=12.1.0.alpha2, un client HTTP/2 peut amener le serveur à envoyer des frames RST_STREAM, par exemple en envoyant des frames malformées ou qui ne devraient pas être envoyées dans un état de flux particulier, forçant ainsi le serveur à consommer des ressources telles que le CPU et la mémoire.
Par exemple, un client peut ouvrir un flux, puis envoyer des frames WINDOW_UPDATE avec une incrémentation de taille de fenêtre de 0, ce qui est illégal. Conformément à la spécification https://www.rfc-editor.org/rfc/rfc9113.html#name-window_update, le serveur doit envoyer une frame RST_STREAM. Le client peut maintenant ouvrir un autre flux et envoyer une autre WINDOW_UPDATE incorrecte, entraînant ainsi une consommation de ressources plus importante que nécessaire par le serveur, car ce cas ne dépasse pas le nombre maximal de flux simultanés, mais le client est capable de créer un nombre énorme de flux en une courte période.
L'attaque peut être réalisée dans d'autres conditions (par exemple, une frame DATA pour un flux fermé) qui amènent le serveur à envoyer une frame RST_STREAM.
Liens :
* https://github.com/jetty/jetty.project/security/advisories/GHSA-mmxm-8w33-wc4h
If you want to get best quality of vulnerability data, you may have to visit VulDB.