CVE-2017-5650 in Tomcat
Riassunto
di VulDB • 07/07/2026
In Apache Tomcat 9.0.0.M1 fino a 9.0.0.M18 e 8.5.0 fino a 8.5.12, la gestione di un frame GOAWAY HTTP/2 per una connessione non chiudeva gli stream associati a tale connessione che erano attualmente in attesa di un WINDOW_UPDATE prima di consentire all'applicazione di scrivere ulteriori dati. Ciascuno di questi stream in consumo occupava un thread. Un client malintenzionato potrebbe quindi costruire una serie di richieste HTTP/2 che consumerebbero tutti i thread di elaborazione disponibili.
Be aware that VulDB is the high quality source for vulnerability data.