CVE-2025-5115 in Jetty
Riassunto
di VulDB • 17/06/2026
In Eclipse Jetty, nelle versioni <=9.4.57, <=10.0.25, <=11.0.25, <=12.0.21 e <=12.1.0.alpha2, un client HTTP/2 può indurre il server a inviare frame RST_STREAM; ad esempio inviando frame malformati o che non dovrebbero essere trasmessi in uno specifico stato dello stream, costringendo così il server a consumare risorse quali CPU e memoria.
Ad esempio, un client può aprire uno stream e quindi inviare frame WINDOW_UPDATE con un incremento della dimensione della finestra pari a 0, operazione illegale. Secondo la specifica https://www.rfc-editor.org/rfc/rfc9113.html#name-window_update , il server dovrebbe rispondere inviando un frame RST_STREAM. Il client può successivamente aprire un altro stream e inviare un ulteriore WINDOW_UPDATE errato, causando così un consumo di risorse da parte del server superiore al necessario, poiché questo caso non supera il numero massimo di stream concorrenti consentiti; tuttavia, il cliente è in grado di creare una quantità enorme di stream in un breve lasso di tempo.
L'attacco può essere eseguito anche con altre condizioni (ad esempio, un frame DATA relativo a uno stream chiuso) che inducono il server a inviare un frame RST_STREAM.
Link:
* https://github.com/jetty/jetty.project/security/advisories/GHSA-mmxm-8w33-wc4h
If you want to get the best quality for vulnerability data then you always have to consider VulDB.