Katalog CVE

CVE-2026-44248

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.46%

Percentyl 37 - wyżej niż 37% wszystkich znanych CVE

Streszczenie

W bibliotece Netty przed wersjami 4.2.13.Final i 4.1.133.Final odkryto podatność w dekoderze MQTT 5. Sekcja właściwości (Properties) w nagłówku MQTT jest parsowana i buforowana przed sprawdzeniem limitu rozmiaru wiadomości, co pozwala atakującemu na wysłanie bardzo dużych właściwości. Powoduje to wielokrotne, kosztowne przetwarzanie i buforowanie danych w pamięci, prowadząc do wysokiego zużycia CPU i RAM.

Ocena ryzyka

Atakujący może przeciążyć serwer wykorzystujący Netty do obsługi MQTT 5, powodując odmowę usługi (DoS) poprzez wysłanie spreparowanego pakietu z ogromną sekcją właściwości. Może to doprowadzić do niedostępności usług dla klientów.

Rekomendacja

Należy niezwłocznie zaktualizować bibliotekę Netty do wersji 4.2.13.Final lub 4.1.133.Final. Jeśli aktualizacja nie jest możliwa, rozważ ograniczenie dostępu do serwera MQTT tylko dla zaufanych klientów.

Oryginalny opis (angielski, źródło NVD)

Netty is an asynchronous, event-driven network application framework. Prior to 4.2.13.Final and 4.1.133.Final, the MQTT 5 header Properties section is parsed and buffered before any message size limit is applied. Specifically, in MqttDecoder, the decodeVariableHeader() method is called before the bytesRemainingBeforeVariableHeader > maxBytesInMessage check. The decodeVariableHeader() can call other methods which will call decodeProperties(). Effectively, Netty does not apply any limits to the size of the properties being decoded. Additionally, because MqttDecoder extends ReplayingDecoder, Netty will repeatedly re-parse the enormous Properties sections and buffer the bytes in memory, until the entire thing parses to completion. This can cause high resource usage in both CPU and memory. This vulnerability is fixed in 4.2.13.Final and 4.1.133.Final.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS