CVE-2026-42586

Nome do Software Vulnerável e Versões Afetadas Netty versões anteriores a 4.1.133.Final Netty versões anteriores a 4.2.13.Final

Descrição O codificador de codec Redis do Netty (RedisEncoder) grava conteúdo de string controlado pelo usuário diretamente no buffer de saída da rede sem validar ou sanitizar caracteres CRLF (r ). Como o Redis Serialization Protocol (RESP) utiliza CRLF como delimitador de comando e resposta, um invasor que possa controlar o conteúdo de uma mensagem Redis pode injetar comandos Redis arbitrários ou forjar respostas falsas. Este problema afeta especificamente o modo de comando inline baseado em texto e os tipos de resposta de string simples ou de erro. A falha está presente na função writeString() da classe RedisEncoder e nos construtores de InlineCommandRedisMessage, SimpleStringRedisMessage e ErrorRedisMessage (que herdam de AbstractStringRedisMessage).

Recomendações Atualize para a versão 4.1.133.Final ou posterior. Atualize para a versão 4.2.13.Final ou posterior. Como solução temporária, restrinja o uso de InlineCommandRedisMessage, SimpleStringRedisMessage e ErrorRedisMessage ou implemente a sanitização manual de CRLF nas entradas do usuário antes de passá-las para esses componentes.