CVE-2025-53114
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 30 — wyżej niż 30% wszystkich znanych CVE
Streszczenie
CometD to skalowalna implementacja komet dla komunikacji webowej. W wersjach od 5.0.0 do 5.0.22, 6.0.0 do 6.0.18, 7.0.0 do 7.0.18 oraz 8.0.0 do 8.0.8, złośliwi klienci mogą powodować nieograniczone wzrastanie kolejki wiadomości niepotwierdzonych, co prowadzi do błędu `OutOfMemoryError`. Wersje 5.0.23, 6.0.19, 7.0.19 i 8.0.9 naprawiają ten problem.
Ocena ryzyka
Organizacje mogą doświadczyć poważnych problemów z wydajnością i stabilnością systemu, co może prowadzić do przerw w działaniu usług. Wzrost zużycia pamięci może skutkować awarią aplikacji.
Rekomendacja
Zaleca się aktualizację do wersji 5.0.23, 6.0.19, 7.0.19 lub 8.0.9. Alternatywnie, można wyłączyć rozszerzenie potwierdzenia jako tymczasowe rozwiązanie.
Oryginalny opis (angielski, źródło NVD)
CometD is a scalable comet implementation for web messaging. In versions 5.0.0 through 5.0.22, 6.0.0 through 6.0.18, 7.0.0 through 7.0.18, and 8.0.0 through 8.0.8, bad clients that always send a fixed batch value when the server is using the acknowledgement extension may cause the unacknowledged message queue to grow indefinitely, eventually causing an `OutOfMemoryError`. Versions 5.0.23, 6.0.19, 7.0.19, and 8.0.9 patch the issue. As a workaround, disable the acknowledgement extension.

