一、 漏洞 CVE-2025-9784 基础信息
漏洞信息
                                        # Undertow HTTP/2 DDoS漏洞

## 概述

在 Undertow 中发现了一个漏洞,称为 **"MadeYouReset" 攻击**,恶意客户端可通过发送格式错误的请求,触发服务器端流重置(stream resets),而不会触发滥用计数器(abuse counters)。

## 影响版本

未明确指出具体受影响的版本,建议检查使用 Undertow 的版本并参考官方公告或补丁。

## 细节

攻击者可以构造特殊请求,导致服务器频繁中断流处理(stream aborts),从而增加服务器的处理负载。

## 影响

- 可被用于 **拒绝服务攻击(DoS)**
- 由于未触发滥用响应机制,攻击行为不易被检测和防御
- 显现出 HTTP/2 实现中的常见薄弱点
神龙判断

是否为 Web 类漏洞:

判断理由:

是。这个漏洞位于Web服务的服务端,具体在Undertow服务器中。由于处理恶意构造请求的方式不当,导致服务端可能出现流重置的问题,而这些问题不会被现有的滥用计数器所记录。这一漏洞可以被利用来进行拒绝服务攻击(DoS),通过不断增加服务器的工作负载,进而可能影响到服务的正常运行。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Undertow: undertow madeyoureset http/2 ddos vulnerability
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A flaw was found in Undertow where malformed client requests can trigger server-side stream resets without triggering abuse counters. This issue, referred to as the "MadeYouReset" attack, allows malicious clients to induce excessive server workload by repeatedly causing server-side stream aborts. While not a protocol bug, this highlights a common implementation weakness that can be exploited to cause a denial of service (DoS).
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
不加限制或调节的资源分配
来源:美国国家漏洞数据库 NVD
漏洞标题
Red Hat Undertow 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Red Hat Undertow是美国红帽(Red Hat)公司的一款基于Java的嵌入式Web服务器,是Wildfly(Java应用服务器)默认的Web服务器。 Red Hat Undertow存在安全漏洞,该漏洞源于容易受到HTTP/2 DDoS攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-9784 的公开POC
# POC 描述 源链接 神龙链接
1 None https://github.com/drackyjr/CVE-2025-9784 POC详情
三、漏洞 CVE-2025-9784 的情报信息

  • 标题: CVE-2025-9784 - Red Hat Customer Portal -- 🔗来源链接

    标签: vdb-entry x_refsource_REDHAT

    神龙速读
    CVE-2025-9784 - Red Hat Customer Portal

  • 标题: [UNDERTOW-2598] CVE-2025-9784 Prevent a MadeYouReset HTTP2 attack by … by fl4via · Pull Request #1778 · undertow-io/undertow · GitHub -- 🔗来源链接

    标签:

    神龙速读
    [UNDERTOW-2598] CVE-2025-9784 Prevent a MadeYouReset HTTP2 attack by … by fl4via · Pull Request #1778 · undertow-io/undertow · GitHub

  • 标题: [UNDERTOW-2598] CVE-2025-9784 MadeYouReset HTTP/2 DDoS Vulnerability - Red Hat Issue Tracker -- 🔗来源链接

    标签:

    神龙速读
    [UNDERTOW-2598] CVE-2025-9784 MadeYouReset HTTP/2 DDoS Vulnerability - Red Hat Issue Tracker

  • 标题: 2392306 – (CVE-2025-9784) CVE-2025-9784 undertow: Undertow MadeYouReset HTTP/2 DDoS Vulnerability -- 🔗来源链接

    标签: issue-tracking x_refsource_REDHAT

    神龙速读
    2392306 – (CVE-2025-9784) CVE-2025-9784 undertow: Undertow MadeYouReset HTTP/2 DDoS Vulnerability
  • https://nvd.nist.gov/vuln/detail/CVE-2025-9784
四、漏洞 CVE-2025-9784 的评论

暂无评论

发表评论