CVE-2022-2191

ALT: (7.5)

CVSS3: 6.5

Eclipse Jetty és vulnerable a una denegació de servei, causada per un defecte en SslConnection que no allibera ByteBuffers del ByteBufferPool configurat en cas de rutes de codi d’error. En enviar una sol·licitud especialment dissenyada, un atacant remot podria explotar aquesta vulnerabilitat per a causar una condició de denegació de servei.

Sistemes Afectats

• Eclipse Jetty 10.0.0
• Eclipse Jetty 11.0.0
• Eclipse Jetty 10.0.9
• Eclipse Jetty 11.0.9

Remediació
Actualitzi a l’última versió d’Eclipse Jetty (10.0.10, 11.0.10 o posterior), disponible en el repositori GIT d’Eclipse.

Referències

• https://github.com/eclipse/jetty.project/security/advisories/GHSA-8mpp-f3f7-xc28
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-2191