研究人员揭露HTTP/2一项新漏洞，可使攻击者绕过HTTP/2的防护机制，发动大规模系统阻断服务（Denial of Service, DoS）攻击，甚至系统崩溃。

这项漏洞是由以色列台拉维夫（Tel-Aviv）大学研究人员及Imperva合作发现，并由CERT/CC发布。

本漏洞正式名为MadeYouReset，研究人员说，本漏洞从核心问题及破坏威力而言可比2023年冲击多项服务的Rapid Reset漏洞。

技术而言，MadeYouReset是绕过服务器端设定，用户端发送的TCP 连线每道连线最多允许100个同时HTTP/2呼叫。这种限制是藉由限制单一用户端的同时呼叫量，以防範DoS攻击。

MadeYouReset漏洞让攻击者可由单一用户端发送数千请求，导致合法使用者的DoS攻击条件。攻击者在呼叫中加入异常页框(frame)或flow control错误，开启大量资料流并快速触发服务器重设资料流。此手法造成HTTP/2协定面关闭，实则服务器后端仍继续处理呼叫，攻击者透过重複本动作造成服务器、记忆体及系统资源被大量佔用，形成阻断服务。在某些实作中，本攻击可造成系统记忆体耗尽而崩溃。

MadeYouReset影响数项产品的HTTP/2实作。MadeYouReset正式编号为CVE-2025-8671。但在个别产品中有不同编号。在开源Java Web Server专案Apache Tomcat为CVE-2025-48989（高风险），在 F5 BIG-IP为CVE-2025-54500（CVSS score:6.9），在开源Java 网路应用框架Netty为CVE-2025-55163（CVSS score:7.5）。

上述厂商已释出更新软件或修补程序修补这项漏洞。其中影响开源社群的Apache Tomcat已释出Tomcat 11.0.10、10.1.44、9.0.108。Netty则释出netty 4.2.4.Final。