Netty-3.9
Уязвимости
7
Эксплуатируемые
0
Макс. CVSS
7.5
Макс. EPSS
0.13474
Распределение по критичности
Критический
0
Высокий
6
Средний
1
Низкий
0
Также сопоставлено как (исходные строки): netty-3.9
Топ уязвимостей
CVE-2022-41881Netty project — это управляемый событиями фреймворк для асинхронных сетевых приложений. В версиях до 4.1.86.Final может быть вызван StackOverflowError при разборе неправильно сформированного сообщения из-за бесконечной рекурсии. Эта проблема исправлена в версии 4.1.86.Final. Обходного пути нет, кроме использования пользовательского HaProxyMessageDecoder.
CVE-2020-7238Netty 4.1.43.Final допускает HTTP Request Smuggling, поскольку неправильно обрабатывает пробелы Transfer-Encoding (например, строка [пробел]Transfer-Encoding:chunked) и более поздний заголовок Content-Length. Эта проблема существует из-за неполного исправления CVE-2019-16869.
CVE-2019-20445HttpObjectDecoder.java в Netty до версии 4.1.44 позволяет сопровождать заголовок Content-Length вторым заголовком Content-Length или заголовком Transfer-Encoding.
CVE-2019-20444HttpObjectDecoder.java в Netty до версии 4.1.44 допускает HTTP-заголовок, в котором отсутствует двоеточие, что может быть интерпретировано как отдельный заголовок с неверным синтаксисом или как «недопустимый перенос строки».
CVE-2019-16869Netty версий до 4.1.42.Final неправильно обрабатывает пробелы перед двоеточием в заголовках HTTP (например, строка "Transfer-Encoding : chunked"), что приводит к подмене HTTP-запросов.
CVE-2015-2156Netty до версий 3.9.8.Final, 3.10.x до 3.10.3.Final, 4.0.x до 4.0.28.Final и 4.1.x до 4.1.0.Beta5 и Play Framework 2.x до 2.3.9 могут позволить удаленным злоумышленникам обойти флаг httpOnly в файлах cookie и получить конфиденциальную информацию, используя неправильную проверку символов имени и значения файла cookie.
CVE-2022-41915Netty project — это управляемый событиями фреймворк для асинхронных сетевых приложений. Начиная с версии 4.1.83.Final и до 4.1.86.Final, при вызове `DefaultHttpHeadesr.set` с _итератором_ значений проверка значения заголовка не выполнялась, что позволяло вредоносным значениям заголовка в итераторе выполнять разделение HTTP-ответа. Эта проблема была исправлена в версии 4.1.86.Final. Интеграторы могут обойти эту проблему, изменив вызов `DefaultHttpHeaders.set(CharSequence, Iterator<?>)` на вызов `remove()` и вызвав `add()` в цикле по итератору значений.