CVE-2025-5115 in Jettyinformazioni

Riassunto

di VulDB • 17/06/2026

In Eclipse Jetty, nelle versioni <=9.4.57, <=10.0.25, <=11.0.25, <=12.0.21 e <=12.1.0.alpha2, un client HTTP/2 può indurre il server a inviare frame RST_STREAM; ad esempio inviando frame malformati o che non dovrebbero essere trasmessi in uno specifico stato dello stream, costringendo così il server a consumare risorse quali CPU e memoria.

Ad esempio, un client può aprire uno stream e quindi inviare frame WINDOW_UPDATE con un incremento della dimensione della finestra pari a 0, operazione illegale. Secondo la specifica https://www.rfc-editor.org/rfc/rfc9113.html#name-window_update , il server dovrebbe rispondere inviando un frame RST_STREAM. Il client può successivamente aprire un altro stream e inviare un ulteriore WINDOW_UPDATE errato, causando così un consumo di risorse da parte del server superiore al necessario, poiché questo caso non supera il numero massimo di stream concorrenti consentiti; tuttavia, il cliente è in grado di creare una quantità enorme di stream in un breve lasso di tempo.

L'attacco può essere eseguito anche con altre condizioni (ad esempio, un frame DATA relativo a uno stream chiuso) che inducono il server a inviare un frame RST_STREAM.



Link:


* https://github.com/jetty/jetty.project/security/advisories/GHSA-mmxm-8w33-wc4h

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsabile

Eclipse

Prenotare

23/05/2025

Divulgazione

20/08/2025

Moderazione

accettato

CPE

pronto

EPSS

0.01567

KEV

no

Attività

molto basso

Fonti

Do you want to use VulDB in your project?

Use the official API to access entries easily!