CVE-2025-1948

Nome do Software Vulnerável e Versões Afetadas Versões do Eclipse Jetty 12.0.0 a 12.0.16

Descrição O problema ocorre quando um cliente HTTP/2 especifica um valor muito grande para o parâmetro de configuração HTTP/2 SETTINGS MAX HEADER LIST SIZE. O servidor HTTP/2 do Jetty falha ao validar essa configuração e tenta alocar um ByteBuffer com a capacidade especificada para codificar respostas HTTP. Isso provavelmente resultará no lançamento de um OutOfMemoryError ou até mesmo causará o encerramento do processo JVM.

Recomendações Para as versões do Eclipse Jetty 12.0.0 a 12.0.16, considere validar o parâmetro SETTINGS MAX HEADER LIST SIZE para impedir que valores excessivamente grandes sejam definidos, o que pode ajudar a mitigar o risco de OutOfMemoryError ou encerramento do processo JVM. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.