anonhaven

CVE-2026-1605

HIGH CVSS 3.1: 7,5 EPSS 0.06%
Обновлено 6 марта 2026
Eclipse
Параметр Значение
CVSS 7,5 (HIGH)
Уязвимые версии 12.0.0 — 12.1.6
Устранено в версии 12.0.32
Тип уязвимости CWE-401 (Утечка памяти), CWE-400 (Неконтролируемое потребление ресурсов)
Поставщик Eclipse
Публичный эксплойт Нет

В Eclipse Jetty версий 12.0.0-12.0.31 и 12.1.0-12.0.5 класс GzipHandler представляет уязвимость, когда сжатый HTTP-запрос с Content-Encoding: gzip обрабатывается, а соответствующий ответ не сжимается. Это происходит потому, что JDK Inflater выделен для распаковки запроса, но не освобождается, поскольку механизм выпуска привязан к сжатому ответу. В этом случае, поскольку ответ не сжимается, механизм разблокировки не срабатывает, вызывая утечку.

Показать оригинальное описание (EN)

In Eclipse Jetty, versions 12.0.0-12.0.31 and 12.1.0-12.0.5, class GzipHandler exposes a vulnerability when a compressed HTTP request, with Content-Encoding: gzip, is processed and the corresponding response is not compressed. This happens because the JDK Inflater is allocated for decompressing the request, but it is not released because the release mechanism is tied to the compressed response. In this case, since the response is not compressed, the release mechanism does not trigger, causing the leak.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Нет
Нет утечки данных
Целостность
Нет
Нет модификации данных
Доступность
Высокое
Полный отказ в обслуживании

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-401 Memory Leak (Утечка памяти)
CWE-400 Uncontrolled Resource Consumption (Неконтролируемое потребление ресурсов)

Уязвимые продукты 2

Конфигурация От (включительно) До (исключительно)
Eclipse Jetty
cpe:2.3:a:eclipse:jetty:*:*:*:*:*:*:*:*
 12.0.0 12.0.32
Eclipse Jetty
cpe:2.3:a:eclipse:jetty:*:*:*:*:*:*:*:*
 12.1.0 12.1.6

Ссылки 1

https://github.com/jetty/jetty.project/security/advisories/GHSA-xxh7-fcf3-rj7f
emo@eclipse.org
Share Post Share Share Share

Связанные уязвимости

CVE-2025-11143

Eclipse

6,5

CVE-2026-22886

Elipse

9,8

CVE-2026-0648

Eclipse

6,3

CVE-2025-55102

Eclipse

8,7

CVE-2025-55095

Eclipse

7,0