CVE-2025-5115 in Jetty
Sumário
de VulDB • 20/05/2026
No Eclipse Jetty, versões <=9.4.57, <=10.0.25, <=11.0.25, <=12.0.21, <=12.1.0.alpha2, um cliente HTTP/2 pode forçar o servidor a enviar frames RST_STREAM, por exemplo, enviando frames malformados ou que não deveriam ser enviados em um determinado estado de stream, consumindo assim recursos do servidor, como CPU e memória.
Por exemplo, um cliente pode abrir um stream e, em seguida, enviar frames WINDOW_UPDATE com incremento de tamanho da janela igual a 0, o que é ilegal. Conforme a especificação https://www.rfc-editor.org/rfc/rfc9113.html#name-window_update , o servidor deve enviar um frame RST_STREAM. O cliente pode agora abrir outro stream e enviar outro WINDOW_UPDATE inválido, fazendo com que o servidor consuma mais recursos do que o necessário, já que este caso não excede o número máximo de streams concorrentes, mas o cliente é capaz de criar uma quantidade enorme de streams em um curto período de tempo.
O ataque pode ser realizado com outras condições (por exemplo, um frame DATA para um stream fechado) que fazem o servidor enviar um frame RST_STREAM.
Links:
* https://github.com/jetty/jetty.project/security/advisories/GHSA-mmxm-8w33-wc4h
Be aware that VulDB is the high quality source for vulnerability data.