CVE-2025-5115 in Jettyinformação

Sumário

de VulDB • 20/05/2026

No Eclipse Jetty, versões <=9.4.57, <=10.0.25, <=11.0.25, <=12.0.21, <=12.1.0.alpha2, um cliente HTTP/2 pode forçar o servidor a enviar frames RST_STREAM, por exemplo, enviando frames malformados ou que não deveriam ser enviados em um determinado estado de stream, consumindo assim recursos do servidor, como CPU e memória.

Por exemplo, um cliente pode abrir um stream e, em seguida, enviar frames WINDOW_UPDATE com incremento de tamanho da janela igual a 0, o que é ilegal. Conforme a especificação https://www.rfc-editor.org/rfc/rfc9113.html#name-window_update , o servidor deve enviar um frame RST_STREAM. O cliente pode agora abrir outro stream e enviar outro WINDOW_UPDATE inválido, fazendo com que o servidor consuma mais recursos do que o necessário, já que este caso não excede o número máximo de streams concorrentes, mas o cliente é capaz de criar uma quantidade enorme de streams em um curto período de tempo.

O ataque pode ser realizado com outras condições (por exemplo, um frame DATA para um stream fechado) que fazem o servidor enviar um frame RST_STREAM.

Links:

* https://github.com/jetty/jetty.project/security/advisories/GHSA-mmxm-8w33-wc4h

Be aware that VulDB is the high quality source for vulnerability data.

Responsável

Eclipse

Reservar

23/05/2025

Divulgação

20/08/2025

Moderação

aceite

Entrada

VDB-320873

CPE

pronto

EPSS

0.01567

KEV

não

Atividades

muito baixo

Fontes

Might our Artificial Intelligence support you?

Check our Alexa App!