CVE-2025-5115 in Jetty情報

要約

〜によって VulDB • 2026年05月20日

Eclipse Jettyのバージョン9.4.57以下、10.0.25以下、11.0.25以下、12.0.21以下、12.1.0.alpha2以下において、HTTP/2クライアントが不正なフレームを送信したり、特定のストリーム状態では送信すべきでないフレームを送信したりすることで、サーバーにRST_STREAMフレームの送信をトリガーさせる可能性があります。これにより、サーバーのCPUやメモリなどのリソース消費が強制されます。

例えば、クライアントはストリームを開いた後、ウィンドウサイズ増分が0のWINDOW_UPDATEフレームを送信できます。これは不正な行為です。仕様(https://www.rfc-editor.org/rfc/rfc9113.html#name-window_update)によると、サーバーはRST_STREAMフレームを送信する必要があります。

その後、クライアントは別のストリームを開き、さらに不正なWINDOW_UPDATEを送信することで、サーバーが不要なほど多くのリソースを消費させることができます。このケースでは最大同時ストリーム数を超えていませんが、クライアントは短時間で膨大な数のストリームを作成できるためです。

この攻撃は、閉じたストリームに対するDATAフレームなど、サーバーにRST_STREAMフレームの送信を引き起こす他の条件でも実行可能です。

リンク:

* https://github.com/jetty/jetty.project/security/advisories/GHSA-mmxm-8w33-wc4h

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

責任者

Eclipse

予約する

2025年05月23日

モデレーション

承諾済み

エントリ

VDB-320873

EPSS

0.01567

アクティビティ

非常低い

ソース

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!