CVE-2022-2048

ALT: (7.5)

CVSS3: 6.5

Eclipse Jetty és vulnerable a una denegació de servei, causada per un defecte en la gestió d’errors d’una sol·licitud HTTP/2 no vàlida. Mitjançant l’enviament de sol·licituds HTTP/2 especialment dissenyades, un atacant remot podria explotar aquesta vulnerabilitat per a fer que el servidor deixi de respondre, la qual cosa resulta en una condició de denegació de servei.

Sistemes Afectats

• Eclipse Jetty 9.4.0
• Eclipse Jetty 10.0.0
• Eclipse Jetty 11.0.0
• Eclipse Jetty 9.4.46
• Eclipse Jetty 10.0.9
• Eclipse Jetty 11.0.9

Remediació
Actualitzi a l’última versió d’Eclipse Jetty (9.4.47, 10.0.10, 11.0.10 o posterior), disponible en el repositori GIT d’Eclipse.

Referències

• https://github.com/eclipse/jetty.project/security/advisories/GHSA-wgmr-mf83-7x4j
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-2048