CVE-2025-5115 in Jetty
要約
〜によって VulDB • 2026年05月20日
Eclipse Jettyのバージョン9.4.57以下、10.0.25以下、11.0.25以下、12.0.21以下、12.1.0.alpha2以下において、HTTP/2クライアントが不正なフレームを送信したり、特定のストリーム状態では送信すべきでないフレームを送信したりすることで、サーバーにRST_STREAMフレームの送信をトリガーさせる可能性があります。これにより、サーバーのCPUやメモリなどのリソース消費が強制されます。
例えば、クライアントはストリームを開いた後、ウィンドウサイズ増分が0のWINDOW_UPDATEフレームを送信できます。これは不正な行為です。仕様(https://www.rfc-editor.org/rfc/rfc9113.html#name-window_update)によると、サーバーはRST_STREAMフレームを送信する必要があります。
その後、クライアントは別のストリームを開き、さらに不正なWINDOW_UPDATEを送信することで、サーバーが不要なほど多くのリソースを消費させることができます。このケースでは最大同時ストリーム数を超えていませんが、クライアントは短時間で膨大な数のストリームを作成できるためです。
この攻撃は、閉じたストリームに対するDATAフレームなど、サーバーにRST_STREAMフレームの送信を引き起こす他の条件でも実行可能です。
リンク:
* https://github.com/jetty/jetty.project/security/advisories/GHSA-mmxm-8w33-wc4h
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.