CVE-2025-55163

Netty MadeYouReset HTTP/2 DDoS Vulnerability

CVSS 8.2 HIGHEPSS 1.0%CWE-770

En resumen

La implementación HTTP/2 de Netty es vulnerable a un ataque DDoS mediante frames de control malformados que eluden límites de streams, causando agotamiento de recursos del servidor.

Detalle técnico

Un defecto lógico en el manejo del protocolo HTTP/2 permite que atacantes creen frames de control malformados que burlen la limitación de streams concurrentes, resultando en consumo ilimitado de recursos y denegación de servicio. La explotación requiere acceso a la red; se ha solucionado en las versiones 4.1.124.Final y 4.2.4.Final.

Resumen generado y traducido por IA a partir de la descripción oficial.

Netty is an asynchronous, event-driven network application framework. Prior to versions 4.1.124.Final and 4.2.4.Final, Netty is vulnerable to MadeYouReset DDoS. This is a logical vulnerability in the HTTP/2 protocol, that uses malformed HTTP/2 control frames in order to break the max concurrent streams limit - which results in resource exhaustion and distributed denial of service. This issue has been patched in versions 4.1.124.Final and 4.2.4.Final.

CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N

Productos afectados

netty · netty

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/netty/netty/security/advisories/GHSA-prj3-ccx8-p6x4 https://www.kb.cert.org/vuls/id/767506 http://www.openwall.com/lists/oss-security/2025/08/16/1