CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-48480

MediumCVSS 6.6
Published: Updated: Translated: NVD NIST

Exploitation Probability (EPSS)

Low risk
0.17%

6th percentile - higher than 6% of all known CVEs

Summary

Kodowanie netty incubator codec.bhttp to parser binarny HTTP w języku Java. W wersji przed 0.0.22.Final implementacja codec-ohttp nie weryfikuje, czy otrzymano kryptograficznie podpisany ostatni fragment przed zakończeniem zewnętrznego ciała HTTP.

Risk Assessment

Atakujący mogą wykorzystać tę lukę, aby przesłać niekompletną wiadomość chunked-OHTTP, co może prowadzić do braku błędów deszyfrowania i wyjątków w aplikacji odbierającej. To stwarza ryzyko dla integralności przesyłanych danych.

Recommendation

Zaleca się aktualizację do wersji 0.0.22.Final lub nowszej, aby usunąć tę podatność i zabezpieczyć aplikację przed potencjalnymi atakami.

Original NVD description (English source)

The netty incubator codec.bhttp is a java language binary http parser. Prior to version 0.0.22.FInal, the codec-ohttp implementation of draft-ietf-ohai-chunked-ohttp does not verify that a cryptographically-signed final chunk was received before the outer HTTP body terminates. An on-path adversary (the OHTTP relay itself, or any MITM on the relay↔gateway or relay↔client transport) can forward a prefix of a legitimate chunked-OHTTP message—cut at a non-final chunk boundary—and close the outer body cleanly, producing no decryption error and no exception in the receiving application. Version 0.0.22.Final fixes the issue.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS