Eclipse · Eclipse Jetty · CVE-2025-5115
**Nome do Software Vulnerável e Versões Afetadas:**
Versões do Eclipse Jetty <=9.4.57
Versões do Eclipse Jetty <=10.0.25
Versões do Eclipse Jetty <=11.0.25
Versões do Eclipse Jetty <=12.0.21
Versão do Eclipse Jetty 12.1.0.alpha2
**Descrição:**
Um cliente HTTP/2 pode acionar o servidor para enviar quadros RST STREAM ao enviar quadros malformados ou inválidos, forçando o servidor a consumir recursos excessivos, como CPU e memória. Especificamente, um cliente pode enviar quadros WINDOW UPDATE com um incremento de 0, o que é ilegal de acordo com a especificação HTTP/2 (RFC 9113). Isso faz com que o servidor envie um quadro RST STREAM, e o envio repetido de tais quadros pode levar ao esgotamento de recursos e a uma condição de negação de serviço. A vulnerabilidade explora uma falha de projeto onde redefinir um stream não o contabiliza corretamente no contador de streams ativos, permitindo que um atacante crie um grande número de streams. O ataque também pode ser realizado usando outras condições, como enviar um quadro DATA para um stream fechado. Este problema é semelhante à vulnerabilidade Rapid Reset (CVE-2023-44487), mas difere no fato de que o servidor inicia o quadro RST STREAM, em vez do cliente.
**Recomendações:**
Versões do Eclipse Jetty anteriores a 9.4.58
Versões do Eclipse Jetty anteriores a 10.0.26
Versões do Eclipse Jetty anteriores a 11.0.26
Versões do Eclipse Jetty anteriores a 12.0.22
Versões do Eclipse Jetty anteriores a 12.1.0.alpha3
Como uma mitigação rápida, limite o número ou a taxa de quadros RST STREAM enviados pelo servidor.
Limite o número ou a taxa de quadros de controle (por exemplo, WINDOW UPDATE e PRIORITY) enviados pelo cliente.
Trate erros de fluxo do protocolo como erros de conexão.