CVE-2026-41417

Nome do Software Vulnerável e Versões Afetadas Netty versões anteriores a 4.1.133.Final Netty versões anteriores a 4.2.13.Final

Descrição A validação da linha de requisição pode ser ignorada quando um DefaultHttpRequest ou DefaultFullHttpRequest é criado e seu URI é posteriormente modificado usando a função setUri(). Embora os construtores rejeitem caracteres CRLF (Carriage Return Line Feed) e espaços em branco para evitar a corrupção da linha inicial, o setUri() não realiza essa validação. Consequentemente, o HttpRequestEncoder e o RtspEncoder escrevem o URI na linha de requisição literalmente. Se uma entrada controlada por um invasor for passada para setUri(), isso permite a injeção de CRLF e a inserção de requisições HTTP ou RTSP adicionais. Isso pode levar ao contrabando de requisições HTTP (HTTP request smuggling), dessincronização no lado HTTP e injeção de requisições no lado RTSP.

Recomendações Atualize para a versão 4.1.133.Final ou posterior. Atualize para a versão 4.2.13.Final ou posterior. Como medida paliativa temporária, evite usar a função setUri() com entradas controladas por invasores.