Eclipse Jettyのバージョン9.4.57以下、10.0.25以下、11.0.25以下、12.0.21以下、12.1.0.alpha2以下には、HTTP/2クライアントがサーバーにRST_STREAMフレームを送信させる可能性があります。例えば、不正な形式のフレームや特定のストリーム状態で送信すべきでないフレームを送信すると、サーバーはCPUやメモリなどのリソースを過剰に消費してしまいます。具体例として、クライアントがストリームを開いた後にウィンドウサイズの増分が0のWINDOW_UPDATEフレーム（違法なフレーム）を送信すると、仕様書（https://www.rfc-editor.org/rfc/rfc9113.html#name-window_update）によりサーバーはRST_STREAMフレームを送信する必要があります。クライアントは続けて別のストリームを開き、再び不正なWINDOW_UPDATEを送信することで、最大同時ストリーム数を超えなくても大量のストリームを短時間で作成し、サーバーのリソースを過剰に消費させることが可能です。この攻撃は、例えばクローズされたストリームに対するDATAフレームなど、サーバーがRST_STREAMフレームを送信すべき他の条件においても実行可能です。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。