CVE-2025-24970

Nome do Software Vulnerável e Versões Afetadas Versões do Netty de 4.1.91.Final a 4.1.117.Final

Descrição A vulnerabilidade está relacionada ao framework Netty, um framework de aplicações de rede assíncrono e orientado a eventos. Ela ocorre quando um pacote especialmente construído é recebido via SslHandler, que não manipula corretamente a validação de tal pacote em todos os casos, levando a um crash nativo. Este problema pode ser explorado por um atacante não autenticado para expor ativos no ambiente suscetíveis à exploração, sem impacto na confidencialidade, sem impacto na integridade, mas com alto impacto na disponibilidade, e não requer interação do usuário.

Recomendações Para as versões do Netty de 4.1.91.Final a 4.1.117.Final, atualize para a versão 4.1.118.Final ou posterior. Como medida temporária de contorno, considere desativar o uso do SSLEngine nativo ou alterar o código manualmente para lidar corretamente com a validação de pacotes especialmente construídos recebidos via SslHandler. Para Confluence Data Center e Server 8.5, atualize para uma versão superior ou igual a 8.5.20. Para Confluence Data Center e Server 9.2, atualize para uma versão superior ou igual a 9.2.2. Para Confluence Data Center e Server 9.3, atualize para uma versão superior ou igual a 9.3.2. Para Bamboo Data Center e Server 9.6, atualize para uma versão superior ou igual a 9.6.11. Para Bamboo Data Center e Server 10.2, atualize para uma versão superior ou igual a 10.2.2.