Vulnerabilidad en HTTP/2 (CVE-2025-8671)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-404 Apagado o liberación incorrecto de recursos

Fecha de publicación:

13/08/2025

Última modificación:

04/11/2025

Descripción

Una discrepancia causada por el restablecimiento de flujos enviados por el servidor, activados por el cliente, entre las especificaciones HTTP/2 y las arquitecturas internas de algunas implementaciones de HTTP/2 puede resultar en un consumo excesivo de recursos del servidor, lo que resulta en una denegación de servicio (DoS). Al abrir flujos y luego activar rápidamente el servidor para que los restablezca (mediante tramas malformadas o errores de control de flujo), un atacante puede explotar la contabilidad incorrecta de los flujos. Los flujos restablecidos por el servidor se consideran cerrados a nivel de protocolo, aunque el procesamiento del backend continúe. Esto permite que un cliente haga que el servidor gestione un número ilimitado de flujos simultáneos en una sola conexión. Esta CVE se actualizará a medida que se publiquen los detalles de los productos afectados.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

7.50

Gravedad 3.x

ALTA

Vulnerabilidad en HTTP/2 (CVE-2025-8671)

Descripción

Impacto

Referencias a soluciones, herramientas e información