CVE-2026-42581
ŚrednieCVSS 5.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 44 - wyżej niż 44% wszystkich znanych CVE
Streszczenie
Podatność w Netty pozwala na przemycanie żądań HTTP (request smuggling) w przypadku wersji HTTP/1.0. Gdy żądanie zawiera zarówno nagłówek Transfer-Encoding: chunked, jak i Content-Length, HttpObjectDecoder nie usuwa sprzecznego nagłówka Content-Length dla HTTP/1.0, co powoduje niezgodność granic wiadomości.
Ocena ryzyka
Atakujący może wykorzystać tę lukę do przemycania żądań HTTP, co może prowadzić do ominięcia zabezpieczeń, przechwycenia sesji lub manipulacji danymi przesyłanymi przez proxy lub inne komponenty przetwarzające ruch HTTP.
Rekomendacja
Należy niezwłocznie zaktualizować Netty do wersji 4.2.13.Final lub 4.1.133.Final, które zawierają poprawkę usuwającą nagłówek Content-Length dla wszystkich wersji HTTP.
Oryginalny opis (angielski, źródło NVD)
Netty is an asynchronous, event-driven network application framework. Prior to 4.2.13.Final and 4.1.133.Final, HttpObjectDecoder strips a conflicting Content-Length header when a request carries both Transfer-Encoding: chunked and Content-Length, but only for HTTP/1.1 messages. The guard is absent for HTTP/1.0. An attacker that sends an HTTP/1.0 request with both headers causes Netty to decode the body as chunked while leaving Content-Length intact in the forwarded HttpMessage. Any downstream proxy or handler that trusts Content-Length over Transfer-Encoding will disagree on message boundaries, enabling request smuggling. This vulnerability is fixed in 4.2.13.Final and 4.1.133.Final.

