Netty
Уязвимости
66
Эксплуатируемые
1
Макс. CVSS
10
Макс. EPSS
0.99999
Распределение по критичности
Критический
5
Высокий
36
Средний
21
Низкий
3
Также сопоставлено как (исходные строки): netty
Топ уязвимостей
CVE-2026-47691Netty - это сетевое приложение для разработки протокольных серверов и клиентов. До версий 4.1.135.Final и 4.2.15.Final, Netty's 'DnsResolveContext` недостаточно подтверждает бейливик записей NS, что позволяет DNS Cache Poisoning. Злоумышленник, управляющий авторитетным сервером имен для поддомена, может отравить кэш для родительских доменов (например, `.co.uk`). В методе `io.netty.resolver.dns.DnsResolveContext.AuthoritativeNameServerList#add` принимает любую запись NS из раздела AUTHORITY, если имя записи является суффиксом вопросного Имен. Впоследствии метод "рукадуWithWithAdditional" кэширует связанные записи A из ДОПОЛНИТЕЛЬНОГО раздела непосредственно в "авторитативного" сервераCache` под ключом родительского домена. Это обходит стандартные правила biliwick, где серверу, авторитетному для поддомена, не следует доверять, чтобы предоставить авторитетные записи для своего родителя. Затем отравленный кэш используется для всех будущих разрешений под ключом родительского домена. Версии 4.1.135.Final и 4.2.15.Final patch выпуск.
CVE-2026-45674Netty - это сетевая система приложений для разработки протокольных серверов и клиентов. До версий 4.1.135.Final и 4.2.15.Final, Netty's DnsResolveContext не в состоянии подтвердить происхождение (bailiwick) записей CNAME в ответах DNS. Версии 4.1.135.Финал и 4.2.15.Окончательный патч выпуск.
CVE-2026-42581Netty - это асинхронная, управляемая событиями сетевым приложением. До 4.2.13.Final и 4.1.133.Final, HttpObjectDecoder снимает противоречивый заголовок Доли Контента, когда запрос несет как Transfer-Encoding: chunked и Content-Length, но только для сообщений HTTP/1.1. Охранник отсутствует для HTTP/1.0. Злоумышленник, который отправляет запрос HTTP/1.0 с обоими заголовками, заставляет Netty декодировать тело как скрупулезно, оставляя длину контента нетронутой в пересылаемой HttpMessage. Любой нижепоток прокси или обработчик, который доверяет Content-Length над Transfer-Encoding, не согласится с границами сообщений, что позволяет совершать контрабанду запросов. Эта уязвимость зафиксирована в 4.2.13.Final и 4.1.133.Final.
CVE-2026-42584Netty - это асинхронная, управляемая событиями сетевым приложением. До 4.2.13.Final и 4.1.133.Final, HttpClientCodec сочетает каждый входящий ответ с исходящими запросами по queue.poll() один раз за ответ, в том числе для 1xx. Если клиентские конвейеры GET, то HEAD и сервер отправляет 103, затем 200 с GET body, затем 200 для HEAD, очередь соединяется с первыми 200. Затем правило HEAD пропускает чтение тела этого сообщения, поэтому байты объекта GET остаются на потоке, а следующие 200 размахивается от неправильного сальто. Эта уязвимость зафиксирована в 4.2.3.Final и 4.1.133.Final.
CVE-2026-42579Netty - это асинхронная, управляемая событиями сетевым приложением. До 4.2.13.Final и 4.1.133.Final DNS-кодек Netty не обеспечивает соблюдение ограничений доменных имен RFC 1035 во время кодирования или декодирования. Это создает двунаправленную поверхность атаки: вредоносные DNS-ответы могут использовать декодер, а имена хостиндов под влиянием пользователя могут использовать кодировщик. Эта уязвимость зафиксирована в 4.2.13.Final и 4.1.133.Final.
CVE-2026-48059Netty - это сетевая система приложений для разработки протоколов серверов и клиентов. До версий 4.1.135.Final и 4.2.15.Final, кодек протокола v2 HAProxy PROXY в netty утечет нативную или кучу памяти на каждом соединении, когда клиент отправляет синтактически действительный заголовок, содержащий вложенный `PP2_TYPE_SSL` TLVs (записи с длиной типа) на глубине 2 или более. Утечка происходит на успешном пути разбора — исключение не бросается, сообщение стреляет вниз по течению, декодер удаляется, а приложение выпускает «HAProxyMessage` нормально». Тем не менее, основной буфер кумуляции (объединенный, потенциально прямой `ByteBuf` выделенный каналом) остается постоянным. Версии 4.1.135.Финал и 4.2.15.Фондальный патч выпуск.
CVE-2026-48006Netty - это сетевая система приложений для разработки протокольных серверов и клиентов. До версий 4.1.135.Final и 4.2.15.Final обработчик RedisArrayAggregator постоянно пропускает объединенные буферы прямой памяти, когда соединение трубопровода Redis закрывается до завершения агрегата массива RESP. Обработчик сохраняет сообщения о детях в состоянии по обработке (`глубинное поле), но не определяет «каналInactive», «Обратный удаленный» или «исключительный метод» для их выпуска, когда трубопровод слезет. Поскольку просочившиеся буферы являются кусками «PooledByteBufAllocator` кусков», они предотвращают возвращение этих кусков в бассейн прямой памяти JVM. Повторный отток соединения любым сетевым аналогом монотонно истощает этот общий пул, в конечном итоге вызывая сбои распределения на всех каналах Netty в процессе. Версии 4.1.135.Финал и 4.2.15.Фондальный патч выпуск.
CVE-2026-33871Netty - это асинхронная, управляемая событиями сетевым приложением. В версиях до 4.1.132.Final и 4.2.10.Final удаленный пользователь может запустить отказ в обслуживании (DoS) против сервера Netty HTTP/2, отправив поток кадров `ONTUNATION`. Отсутствие у сервера ограничения на количество кадров «ПРОТЯДАНИЯ» в сочетании с обходом существующих смягчений на основе размеров с использованием нулевых байтовых кадров позволяет пользователю вызывать чрезмерное потребление процессора с минимальной пропускной способностью, что делает сервер невосприимчивым. Версии 4.1.132.Финал и 4.2.10.Финал исправить проблему.
CVE-2025-55163Netty - это асинхронная, управляемая событиями сетевым приложением. До версий 4.1.124.Final и 4.2.4.Final, Netty уязвима для MadeYouReset DDoS. Это логическая уязвимость в протоколе HTTP/2, которая использует деформированные кадры управления HTTP/2, чтобы нарушить максимальное ограничение одновременных потоков, что приводит к истощению ресурсов и распределенному отказу в обслуживании. Этот выпуск был исправлен в версиях 4.1.124.Final и 4.2.4.Final.
CVE-2026-44249Netty - это сетевое приложение для разработки протокольных серверов и клиентов. В netty-handler до версий 4.1.135.Final и 4.2.15.Final злоумышленник может обойти правила подсети IPv6 из-за неправильной операции маскировки в IpSubnetFilterRule.compareTo(). Действительные публичные IP-адреса могут обойти ограничения. Версии 4.1.135.Финал и 4.2.15.Фондальный патч выпуск.
CVE-2014-3488SslHandler в Netty до версии 3.9.2 позволяет удаленным злоумышленникам вызывать отказ в обслуживании (бесконечный цикл и потребление ЦП) через специально созданное сообщение SSLv2Hello.
CVE-2026-50011Netty - это сетевая система приложений для разработки протокольных серверов и клиентов. До версий 4.1.135.Final и 4.2.15.Final, RedisArrayAggregator предварительно распределяет ArrayList с начальной емкостью, равной количеству элементов массива RESP, заявленному в заголовке массива. Этот подсчет взят из провода до того, как появятся соответствующие сообщения о детях. Небольшой вредоносный заголовок может претендовать на огромную начальную емкость. Версии 4.1.135.Финал и 4.2.15.Фондальный патч выпуск.
CVE-2026-50010Netty - это сетевая система приложений для разработки протокольных серверов и клиентов. До версий 4.1.135.Final и 4.2.15.Final, SimpleTrustManagerFactory.engetTrustManagers() и связанные с ними пути обертывают любые поставляемые пользователями простые X509TrustManagerManager в X509TrustManagerWrapper, который расширяет X509ExtendedTrustManager, но реализует 3-arg checkSerSSLEngine и звонить 2-арг-делегату. Поскольку объект теперь является X509ExtendedTrustManager, ни внутренний AbstractTrustManagerWrapper SunJSSE, ни собственный OpenSlX509TrustManagerWrapper от Netty не будут повторно заворачивать его, чтобы добавить идентификацию конечных точек. Следовательно, даже несмотря на то, что Netty 4.2 устанавливает по умолчанию алгоритм идентификации endpointIdentification(HTTPS», клиент, построенный с `SslContextBuilder.forClient().trustmanager(somePlainX509TrustManager)` вообще не выполняет проверки хоста. Версии 4.1.135.Финал и 4.2.15.Фондальный патч выпуск.
CVE-2026-48748Netty - это сетевое приложение для разработки протокольных серверов и клиентов. До версии 4.2.15.Final уязвимость исчерпания памяти в кодеке Netty HTTP/3 позволяет создавать бесконечное количество заблокированных потоков, что может привести к ошибке OOM. Версия 4.2.15.Final латирует проблему.
CVE-2026-48043Netty - это сетевая система приложений для разработки протоколов серверов и клиентов. В netty-codec-http2 до версий 4.1.135.Final и 4.2.15.Final класс «Делегирующий ДекомпрессорФрейтЛистенер» организует декомпрессионную версию HTTP/2 путем встраивания per-stebendedChannel, который запускает соответствующий кодек декомпрессии (gzip, delate, zstd) и пересылает декомпрессионные куски. Каждый декомпрессионный кусок представляет собой объединенный `ByteBuf` адъюнкт-обработчик «ChannelInboundHandlerAdapter», который становится единственным владельцем, ответственным за его выпуск. Удаленный одноранговый может посылать кадры, которые приведут к броску расходомера и, таким образом, вызвать утечку ресурса, которая в конце может сбить весь JVM из-за OOME. Версии 4.1.135.Финал и 4.2.15.Фондальный патч выпуск.
CVE-2026-46340Netty - это сетевая система приложений для разработки протокольных серверов и клиентов. В версиях netty-transport-sctp до 4.1.135.Final и 4.2.15.Final для каждого неполного фрагмента SctpMessage обработчик делает `fagements.put(streamId, Unpooled.wrappedBuffer(fg, byteBuf)`), обертывая предыдущий аккумулятор и новый срез в *new* После N-фрагмента аккумулятор представляет собой N-глубокую цепочку композитов, каждая удерживальная ссылка и составные массивы; readableBytes()/getBytes() на уровнях конечного буфера. Нет ограничений на N, на общие байты или на количество идентификаторов потоков, которые может открыть злоумышленник (каждый получает свою собственную запись карты). Сверстник, который никогда не устанавливает «полный» флаг, может вырастить эту структуру на неопределенный срок из крошечных 1-байтовых кусков ДАТА. Версии 4.1.135.Финал и 4.2.15.Фондальный патч выпуск.
CVE-2026-45416Netty - это сетевая система приложений для разработки протокольных серверов и клиентов. Перед версиями 4.1.135.Final и 4.2.15.Final SslClientHelloHandler.decode() считывает 24-битную длину рукопожатия TLS и, когда ClientHello не вписывается в первую запись, охотно распределяет `ctx.alloc(buffer(handshakeLength)` (линия 161). Охранник на линии 140 - "handshakeLength > maxClientHelloLength && maxClientHelloLength != 0`, и широко используемые конструкторы SniHandler/AbstractSniSniHandler (SniHandler (Mapping), SniHandler (AsyncMapping), AbstractSniHandler()) пропуск maxClientHelloLength=0 и handswakeTimeoutИ тайм-аут не запланирован. Запрос 16 MiB превышает размер объединенного по умолчанию и становится огромным / необъединенным распределением, выполняемым немедленно. Буфер сохраняется в обработчике до тех пор, пока канал не закроется. Версии 4.1.135.Финал и 4.2.15.Фондальный патч выпуск.
CVE-2026-44894Netty - это сетевая система приложений для разработки протокольных серверов и клиентов. NoQuicTokenHandler - это токенОбработчик, используемый, когда приложение не устанавливает его. До версии 4.2.15.Final его writeToken() возвращает ложные (сервер не будет отправлять Retry — приемлемо), но validateToken() безоговорочно `return 0`. В QuicheQuicServerCodec.handlePacket() неотрицательный возврат от validateToken() интерпретируется как «токен действителен, ODCID запускается с зачета 0», в результате чего сервер вызывает quiche_accept, как если бы адрес клиента был подтвержден повторным отправленным туда-обратно. В соответствии с RFC 9000 §8.1, проверенный адрес снимает 3-кратный анти-усилениельный лимит отправки. Таким образом, любой злоумышленник, который включает ЛЮБЫЕ непустые байты токенов в пакете Initial - с поддельным источником жертвы IP - заставляет сервер Netty рассматривать жертву как проверенную и отражать полноразмерные полеты рукопожатия (сертификаты и т. Д.) К нему без 3× крышки. Правильная семантика «без токенов» заключалась бы в том, чтобы вернуться -1 (недействителен), поэтому применяется нормальный непроверенный путь и предел усиления. Версия 4.2.15.Final латирует проблему.
CVE-2026-44893Netty - это сетевая система приложений для разработки протокольных серверов и клиентов. В netty-codec-haproxy до версий 4.1.135.Final и 4.2.15.Final, при расшифровке PP2_TYPE_SSL TLV, HAProxyMessage.readNextTLV() сначала звонит `header.retainedSlice(header.readerIndex(), длина)` и только затем считывает поле 1-байт и 4-байт. Если злоумышленник устанавливает длину TLV ниже 5, последующий readByte/readInt бросает IndexOutOfBoundsException. HAProxyMessageDecoder улавливает HAProxyProtocolicception только вокруг этого звонка, поэтому IOOBE распространяется, а удерживаемый ломтик на объединенном буфере кумуляции никогда не выпускается. Версии 4.1.135.Финал и 4.2.15.Фондальный патч выпуск.
CVE-2026-44892Netty - это сетевая система приложений для разработки протокольных серверов и клиентов. До версии 4.2.15.Final в кодек Netty HTTP/3 по умолчанию отсутствует принудительный предел максимального размера заголовка. Когда одноранговый не указывает явно `HTTP3_SETTINGS_MAX_FIELD_SECTION_SIZE`, реализация не соответствует безграничному пределу. Эта небезопасная конфигурация по умолчанию позволяет вредоносному клиенту или серверу отправлять огромное количество заголовков, что приводит к отказу в обслуживании исчерпанию памяти через `OutOfMemoryError. Версия 4.2.15.Final содержит патч.
CVE-2026-44890Netty - это сетевая система приложений для разработки протокольных серверов и клиентов. В netty-codec-redis до версий 4.1.135.Final и 4.2.15.Final злоумышленник может вызвать DoS, отправив созданные полезные нагрузки Redis через несколько соединений без `\r\n`. Это исчерпывает пул прямой памяти сервера (OutOfDirectMemoryEror), предотвращая обработку законных соединений. Версии 4.1.135.Финал и 4.2.15.Фондальный патч выпуск.
CVE-2026-44250Netty - это сетевое приложение для разработки протокольных серверов и клиентов. В netty-codec-redis до версий 4.1.135.Final и 4.2.15.Final злоумышленник может вызвать DoS, отправив созданную полезную нагрузку Redis с глубоко вложенными массивами. Это заставляет сервер выделять огромное количество объектов состояния и коллекций, что приводит к истощению памяти и OutOfMemoryErr. Версии 4.1.135.Финал и 4.2.15.Фондальный патч выпуск.
CVE-2026-44248Netty - это асинхронная, управляемая событиями сетевым приложением. До 4.2.13.Final и 4.1.133.Final раздел MQTT 5 заголовков Свойства разбирается и буферизуется до применения любого ограничения размера сообщения. В частности, в MqtDecoder метод decodeVariableHeder() называется перед байтесамиRemainingBeforeVariableHader > maxBytesInMessage check. DecodeVariableHeader() может вызывать другие способы, которые будут называть decodeProperties(). Фактически, Netty не применяет никаких ограничений на размер декодируемых свойств. Кроме того, поскольку MqttDecoder расширяет ReplayingDecoder, Netty будет неоднократно повторно анализировать огромные секции Свойств и буферизировать байты в памяти, пока все не разберется до завершения. Это может привести к высокому использованию ресурсов как в процессоре, так и в памяти. Эта уязвимость зафиксирована в 4.2.13.Final и 4.1.133.Final.
CVE-2026-42587Netty - это асинхронная, управляемая событиями сетевым приложением. До 4.2.13.Final и 4.1.133.Final HttpContentDecompressor принимает параметр максимального распределения для ограничения размера декомпрессионного буфера и предотвращения приступов декомпрессионной бомбы. Этот предел правильно применяется для кодирования gzip и дефлята через ZlibDecoder, но молча игнорируется, когда кодировка контента br (Brotli), zstd или snappy. Злоумышленник может обойти сконфигурированный предел декомпрессии, отправив сжатую полезную нагрузку с помощью Content-Encoding: br вместо Content-Encoding: gzip, вызывая безграничное распределение памяти и отказ в обслуживании вне памяти. Такая же уязвимость существует в DelegatingDecompressorFrameListener для соединений HTTP/2. Эта уязвимость зафиксирована в 4.2.3.Final и 4.1.133.Final.
CVE-2026-42585Netty - это асинхронная, управляемая событиями сетевым приложением. До 4.2.13.Final и 4.1.133.Final Нетти неправильно анализирует неправильное кодирование Transfer-Encoding, что позволяет осуществлять контрабанду запросов. Эта уязвимость зафиксирована в 4.2.3.Final и 4.1.133.Final.