CVE-2026-42578

Nome do Software Vulnerável e Versões Afetadas Netty versões anteriores a 4.1.133.Final Netty versões anteriores a 4.2.13.Final

Description O HttpProxyHandler do Netty constrói solicitações HTTP CONNECT com a validação de cabeçalho explicitamente desativada. A função newInitialMessage() cria cabeçalhos usando DefaultHttpHeadersFactory.headersFactory().withValidation(false) e, em seguida, adiciona outboundHeaders fornecidos pelo usuário sem qualquer validação de CRLF (Carriage Return Line Feed). A injeção de CRLF é uma técnica onde um invasor insere caracteres especiais para manipular a estrutura de uma solicitação HTTP. Isso permite que um invasor que possa influenciar os cabeçalhos de saída injete cabeçalhos HTTP arbitrários na solicitação CONNECT enviada ao servidor proxy.

Recommendations Atualize para a versão 4.1.133.Final ou superior. Atualize para a versão 4.2.13.Final ou superior. Como solução temporária, restrinja o acesso à variável outboundHeaders ou garanta que quaisquer dados fornecidos pelo usuário e passados para o construtor do HttpProxyHandler sejam rigorosamente sanitizados para remover caracteres CRLF.