Katalog CVE

CVE-2025-53114

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.38%

Percentyl 30 — wyżej niż 30% wszystkich znanych CVE

Streszczenie

CometD to skalowalna implementacja komet dla komunikacji webowej. W wersjach od 5.0.0 do 5.0.22, 6.0.0 do 6.0.18, 7.0.0 do 7.0.18 oraz 8.0.0 do 8.0.8, złośliwi klienci mogą powodować nieograniczone wzrastanie kolejki wiadomości niepotwierdzonych, co prowadzi do błędu `OutOfMemoryError`. Wersje 5.0.23, 6.0.19, 7.0.19 i 8.0.9 naprawiają ten problem.

Ocena ryzyka

Organizacje mogą doświadczyć poważnych problemów z wydajnością i stabilnością systemu, co może prowadzić do przerw w działaniu usług. Wzrost zużycia pamięci może skutkować awarią aplikacji.

Rekomendacja

Zaleca się aktualizację do wersji 5.0.23, 6.0.19, 7.0.19 lub 8.0.9. Alternatywnie, można wyłączyć rozszerzenie potwierdzenia jako tymczasowe rozwiązanie.

Oryginalny opis (angielski, źródło NVD)

CometD is a scalable comet implementation for web messaging. In versions 5.0.0 through 5.0.22, 6.0.0 through 6.0.18, 7.0.0 through 7.0.18, and 8.0.0 through 8.0.8, bad clients that always send a fixed batch value when the server is using the acknowledgement extension may cause the unacknowledged message queue to grow indefinitely, eventually causing an `OutOfMemoryError`. Versions 5.0.23, 6.0.19, 7.0.19, and 8.0.9 patch the issue. As a workaround, disable the acknowledgement extension.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS