CVE-2026-48480
MediumCVSS 6.6Exploitation Probability (EPSS)
Low risk6th percentile - higher than 6% of all known CVEs
Summary
Kodowanie netty incubator codec.bhttp to parser binarny HTTP w języku Java. W wersji przed 0.0.22.Final implementacja codec-ohttp nie weryfikuje, czy otrzymano kryptograficznie podpisany ostatni fragment przed zakończeniem zewnętrznego ciała HTTP.
Risk Assessment
Atakujący mogą wykorzystać tę lukę, aby przesłać niekompletną wiadomość chunked-OHTTP, co może prowadzić do braku błędów deszyfrowania i wyjątków w aplikacji odbierającej. To stwarza ryzyko dla integralności przesyłanych danych.
Recommendation
Zaleca się aktualizację do wersji 0.0.22.Final lub nowszej, aby usunąć tę podatność i zabezpieczyć aplikację przed potencjalnymi atakami.
Original NVD description (English source)
The netty incubator codec.bhttp is a java language binary http parser. Prior to version 0.0.22.FInal, the codec-ohttp implementation of draft-ietf-ohai-chunked-ohttp does not verify that a cryptographically-signed final chunk was received before the outer HTTP body terminates. An on-path adversary (the OHTTP relay itself, or any MITM on the relay↔gateway or relay↔client transport) can forward a prefix of a legitimate chunked-OHTTP message—cut at a non-final chunk boundary—and close the outer body cleanly, producing no decryption error and no exception in the receiving application. Version 0.0.22.Final fixes the issue.

