CVE-2026-44241

Nome do Software Vulnerável e Versões Afetadas Micronaut Framework versões 4.3.0 até 4.10.21

Descrição Um invasor não autenticado pode causar a negação de serviço ao esgotar a memória heap, levando ao travamento da JVM. O problema reside no componente TimeConverterRegistrar, que utiliza um ConcurrentHashMap sem limite para armazenar instâncias de DateTimeFormatter. A chave do cache é gerada combinando o padrão da anotação @Format com a localidade extraída do cabeçalho HTTP Accept-Language.

Como a função Locale.forLanguageTag() aceita extensões de uso privado BCP 47 arbitrárias, um invasor pode enviar inúmeras requisições com tags de localidade exclusivas para criar um número ilimitado de chaves de cache. Isso faz com que o cache cresça linearmente até que o sistema fique sem memória.

Este problema afeta qualquer endpoint de rota que utilize um parâmetro temporal anotado com @Format.

Recomendações Atualize para a versão 4.10.22. Como medida paliativa temporária, evite usar a anotação @Format em parâmetros temporais em endpoints de API para evitar que o TimeConverterRegistrar armazene formatadores baseados em localidade no cache.