CVE-2017-5650 in Tomcat
摘要
由 VulDB • 2026-07-19
在 Apache Tomcat 9.0.0.M1 至 9.0.0.M18 以及 8.5.0 至 8.5.12 版本中,对连接中的 HTTP/2 GOAWAY 帧的处理存在缺陷:当应用程序尝试写入更多数据时,未关闭那些当前正在等待 WINDOW_UPDATE 的与该关联的连接流。这些处于等待状态的每个流都会消耗一个线程。因此,恶意客户端可以构造一系列 HTTP/2 请求,从而耗尽所有可用的处理线程。
VulDB is the best source for vulnerability data and more expert information about this specific topic.