CVE-2025-5115

Nome do Software Vulnerável e Versões Afetadas: Versões do Eclipse Jetty <=9.4.57 Versões do Eclipse Jetty <=10.0.25 Versões do Eclipse Jetty <=11.0.25 Versões do Eclipse Jetty <=12.0.21 Versão do Eclipse Jetty 12.1.0.alpha2

Descrição: Um cliente HTTP/2 pode acionar o servidor para enviar quadros RST STREAM ao enviar quadros malformados ou inválidos, forçando o servidor a consumir recursos excessivos, como CPU e memória. Especificamente, um cliente pode enviar quadros WINDOW UPDATE com um incremento de 0, o que é ilegal de acordo com a especificação HTTP/2 (RFC 9113). Isso faz com que o servidor envie um quadro RST STREAM, e o envio repetido de tais quadros pode levar ao esgotamento de recursos e a uma condição de negação de serviço. A vulnerabilidade explora uma falha de projeto onde redefinir um stream não o contabiliza corretamente no contador de streams ativos, permitindo que um atacante crie um grande número de streams. O ataque também pode ser realizado usando outras condições, como enviar um quadro DATA para um stream fechado. Este problema é semelhante à vulnerabilidade Rapid Reset (CVE-2023-44487), mas difere no fato de que o servidor inicia o quadro RST STREAM, em vez do cliente.

Recomendações: Versões do Eclipse Jetty anteriores a 9.4.58 Versões do Eclipse Jetty anteriores a 10.0.26 Versões do Eclipse Jetty anteriores a 11.0.26 Versões do Eclipse Jetty anteriores a 12.0.22 Versões do Eclipse Jetty anteriores a 12.1.0.alpha3 Como uma mitigação rápida, limite o número ou a taxa de quadros RST STREAM enviados pelo servidor. Limite o número ou a taxa de quadros de controle (por exemplo, WINDOW UPDATE e PRIORITY) enviados pelo cliente. Trate erros de fluxo do protocolo como erros de conexão.