Netty-3.9
Уязвимости
7
Эксплуатируемые
0
Макс. CVSS
7.8
Макс. EPSS
0.13474
Распределение по критичности
Критический
0
Высокий
6
Средний
1
Низкий
0
Также сопоставлено как (исходные строки): netty-3.9
Топ уязвимостей
CVE-2014-3488SslHandler в Netty до версии 3.9.2 позволяет удаленным злоумышленникам вызывать отказ в обслуживании (бесконечный цикл и потребление ЦП) через специально созданное сообщение SSLv2Hello.
CVE-2020-7238Netty 4.1.43.Final допускает HTTP Request Smuggling, поскольку неправильно обрабатывает пробелы Transfer-Encoding (например, строка [пробел]Transfer-Encoding:chunked) и более поздний заголовок Content-Length. Эта проблема существует из-за неполного исправления CVE-2019-16869.
CVE-2019-20445HttpObjectDecoder.java в Netty до версии 4.1.44 позволяет сопровождать заголовок Content-Length вторым заголовком Content-Length или заголовком Transfer-Encoding.
CVE-2019-20444HttpObjectDecoder.java в Netty до версии 4.1.44 допускает HTTP-заголовок, в котором отсутствует двоеточие, что может быть интерпретировано как отдельный заголовок с неверным синтаксисом или как «недопустимый перенос строки».
CVE-2019-16869Netty версий до 4.1.42.Final неправильно обрабатывает пробелы перед двоеточием в заголовках HTTP (например, строка "Transfer-Encoding : chunked"), что приводит к подмене HTTP-запросов.
CVE-2015-2156Netty до версий 3.9.8.Final, 3.10.x до 3.10.3.Final, 4.0.x до 4.0.28.Final и 4.1.x до 4.1.0.Beta5 и Play Framework 2.x до 2.3.9 могут позволить удаленным злоумышленникам обойти флаг httpOnly в файлах cookie и получить конфиденциальную информацию, используя неправильную проверку символов имени и значения файла cookie.
CVE-2014-0193WebSocket08FrameDecoder в Netty 3.6.x до 3.6.9, 3.7.x до 3.7.1, 3.8.x до 3.8.2, 3.9.x до 3.9.1 и 4.0.x до 4.0.19 позволяет удаленным злоумышленникам вызывать отказ в обслуживании (потребление памяти) через TextWebSocketFrame, за которым следует длинный поток ContinuationWebSocketFrames.