CVE-2025-1948

Опубликовано: 08 мая 2025

Источник: ubuntu

Приоритет: medium

EPSS Низкий

CVSS3: 7.5

Описание

In Eclipse Jetty versions 12.0.0 to 12.0.16 included, an HTTP/2 client can specify a very large value for the HTTP/2 settings parameter SETTINGS_MAX_HEADER_LIST_SIZE. The Jetty HTTP/2 server does not perform validation on this setting, and tries to allocate a ByteBuffer of the specified capacity to encode HTTP responses, likely resulting in OutOfMemoryError being thrown, or even the JVM process exiting.

Релиз	Статус	Примечание
devel	DNE
esm-apps/xenial	needs-triage
esm-infra-legacy/trusty	needs-triage
jammy	DNE
noble	DNE
plucky	DNE
questing	DNE
upstream	not-affected	debian: Only affects 12.x

Показывать по

Релиз	Статус	Примечание
devel	not-affected	12.0.17-3.1
jammy	DNE
noble	DNE
plucky	DNE
questing	DNE
upstream	released	12.0.17-1

Показывать по

Релиз	Статус	Примечание
devel	needs-triage
esm-apps/bionic	needs-triage
esm-apps/focal	needs-triage
esm-apps/jammy	needs-triage
esm-apps/noble	needs-triage
esm-apps/xenial	needs-triage
jammy	needs-triage
noble	needs-triage
plucky	needs-triage
questing	needs-triage

Показывать по

Ссылки на источники

EPSS

Процентиль: 26%

0.00089

Низкий

7.5 High

CVSS3

Связанные уязвимости

CVE-2025-1948

CVSS3: 7.5

redhat

8 месяцев назад

CVE-2025-1948

CVSS3: 7.5

nvd

8 месяцев назад

CVE-2025-1948

CVSS3: 7.5

debian

8 месяцев назад

In Eclipse Jetty versions 12.0.0 to 12.0.16 included, an HTTP/2 client ...

GHSA-889j-63jv-qhr8

CVSS3: 7.5

github

8 месяцев назад

Eclipse Jetty HTTP/2 client can force the server to allocate a humongous byte buffer that may lead to OoM and subsequently the JVM to exit

EPSS

Процентиль: 26%

0.00089

Низкий

7.5 High

CVSS3

CVE-2025-1948

Описание

Пакет jetty

Пакет jetty12

Пакет jetty9

Ссылки на источники

Связанные уязвимости