CVE-2025-5115 in JettyИнформация

Сводка

по VulDB • 27.05.2026

В Eclipse Jetty, начиная с версий <=9.4.57, <=10.0.25, <=11.0.25, <=12.0.21, <=12.1.0.alpha2, клиент HTTP/2 может заставить сервер отправлять кадры RST_STREAM, например, отправляя некорректно сформированные кадры или кадры, которые не должны отправляться в определенном состоянии потока, тем самым принуждая сервер потреблять такие ресурсы, как процессорное время и память.

Например, клиент может открыть поток, а затем отправить кадры WINDOW_UPDATE с увеличением размера окна на 0, что является недопустимым. Согласно спецификации https://www.rfc-editor.org/rfc/rfc9113.html#name-window_update, сервер должен отправить кадр RST_STREAM. Клиент может затем открыть другой поток и отправить еще один некорректный кадр WINDOW_UPDATE, тем самым заставляя сервер потреблять больше ресурсов, чем необходимо, поскольку этот случай не превышает максимальное количество одновременных потоков, но клиент способен создать огромное количество потоков за короткий промежуток времени.

Атака может быть выполнена при других условиях (например, кадр DATA для закрытого потока), которые заставляют сервер отправлять кадр RST_STREAM.

Ссылки:

* https://github.com/jetty/jetty.project/security/advisories/GHSA-mmxm-8w33-wc4h

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Ответственный

Eclipse

Резервировать

23.05.2025

Раскрытие

20.08.2025

Модерация

принято

Вход

VDB-320873

EPSS

0.01567

KEV

Нет

Деятельности

Очень низкий

Источники

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!