CVE-2025-53114 - CometD has acknowledgement extension out of memory
Summary
This entry details a vulnerability found in the target system. The exploit was published on 2026-06-18 and has garnered 170 views from the community. It is classified under the remote category. Users are advised to review the source code in the Detail tab for technical specifics.
Zafiyet Özet Bilgileri
Zafiyet Detayı (Türkçe)
CometD, web mesajlaşması için ölçeklenebilir bir kuyruklu yıldız uygulamasıdır. 5.0.0 ila 5.0.22, 6.0.0 ila 6.0.18, 7.0.0 ila 7.0.18 ve 8.0.0 ila 8.0.8 sürümlerinde, sunucu bildirim uzantısını kullanırken her zaman sabit bir toplu değer gönderen hatalı istemciler, onaylanmamış mesaj kuyruğunun süresiz olarak büyümesine neden olabilir ve sonuçta 'Bellek Yetersizliği Hatası'. 5.0.23, 6.0.19, 7.0.19 ve 8.0.9 sürümleri sorunu düzeltiyor. Geçici bir çözüm olarak bildirim uzantısını devre dışı bırakın.
Orijinal Açıklama (İngilizce)
CometD is a scalable comet implementation for web messaging. In versions 5.0.0 through 5.0.22, 6.0.0 through 6.0.18, 7.0.0 through 7.0.18, and 8.0.0 through 8.0.8, bad clients that always send a fixed batch value when the server is using the acknowledgement extension may cause the unacknowledged message queue to grow indefinitely, eventually causing an `OutOfMemoryError`. Versions 5.0.23, 6.0.19, 7.0.19, and 8.0.9 patch the issue. As a workaround, disable the acknowledgement extension.
Download Source
Download the exploit source code for offline analysis and testing.
Download NowFile Size: ~3.5 KB | MD5: c521cbb2a764579d94541d5a2c41ffbd
No gallery images available.
No discussion yet.