CVE-2021-21295

io.netty:netty-codec-http2 versões anteriores à 4.1.60.Final

O problema está relacionado ao tratamento de solicitações HTTP/2 na estrutura Netty, especificamente quando o cabeçalho Content-Length está presente. Se uma solicitação chegar como um fluxo HTTP/2 e for convertida em objetos de domínio HTTP/1.1 por meio do Http2StreamFrameToHttpObjectCodec, isso pode resultar em contrabando de solicitações quando redirecionada por um par remoto como HTTP/1.1. Um invasor pode contrabandear solicitações dentro do corpo à medida que este é rebaixado de HTTP/2 para HTTP/1.1. Os usuários só são afetados se HTTP2MultiplexCodec ou Http2FrameCodec for usado, Http2StreamFrameToHttpObjectCodec for usado para converter em objetos HTTP/1.1 e esses objetos HTTP/1.1 forem encaminhados para outro par remoto.

Para versões anteriores à 4.1.60.Final, atualize para a versão 4.1.60.Final ou posterior para resolver o problema.

Como solução alternativa temporária, os usuários podem implementar um ChannelInboundHandler personalizado que seja colocado no ChannelPipeline atrás do Http2StreamFrameToHttpObjectCodec para realizar a validação por conta própria.