CVE-2026-42581

Nome do Software Vulnerável e Versões Afetadas Netty versões anteriores a 4.1.133.Final Netty versões anteriores a 4.2.13.Final

Descrição No componente HttpObjectDecoder, o software falha ao remover o cabeçalho Content-Length quando uma requisição HTTP/1.0 contém simultaneamente os cabeçalhos Transfer-Encoding: chunked e Content-Length. Embora esse conflito seja tratado para mensagens HTTP/1.1, a proteção está ausente para HTTP/1.0. Isso permite que um invasor envie uma requisição que o Netty decodifica como chunked, mantendo o cabeçalho Content-Length intacto na HttpMessage encaminhada. Se um proxy ou manipulador downstream priorizar o Content-Length em relação ao Transfer-Encoding, haverá uma divergência nos limites da mensagem, permitindo o contrabando de requisições (request smuggling). Isso pode levar ao envenenamento de cache, fixação de sessão, acesso não autorizado a endpoints internos e a evasão de camadas de autenticação ou Web Application Firewalls (WAF). O problema envolve especificamente a função handleTransferEncodingChunkedWithContentLength().

Recomendações Atualize para a versão 4.1.133.Final ou posterior. Atualize para a versão 4.2.13.Final ou posterior.