PT-2026-38379 · Netty+2 · Netty+2

Publicado

2026-05-07

·

Atualizado

2026-06-24

·

CVE-2026-42587

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Nome do Software Vulnerável e Versões Afetadas Netty versões anteriores a 4.1.133.Final Netty versões anteriores a 4.2.13.Final
Descrição O HttpContentDecompressor e o DelegatingDecompressorFrameListener (utilizado para conexões HTTP/2) utilizam um parâmetro maxAllocation para limitar o tamanho do buffer de descompressão e prevenir ataques de bomba de descompressão—uma técnica onde um payload compactado pequeno se expande para um tamanho massivo para esgotar os recursos do sistema. Embora esse limite seja aplicado para codificações gzip e deflate via ZlibDecoder, ele é ignorado para as codificações br (Brotli), zstd ou snappy. Um invasor pode burlar o limite configurado enviando um payload compactado com Content-Encoding: br, zstd ou snappy, resultando em alocação de memória ilimitada e negação de serviço por falta de memória (out-of-memory).
Recomendações Atualize para a versão 4.1.133.Final ou posterior. Atualize para a versão 4.2.13.Final ou posterior.

Exploit

Correção

DoS

Resource Exhaustion

Allocation of Resources Without Limits

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-400CWE-770

Identificadores relacionados

CLEANSTART-2026-CP46043
CLEANSTART-2026-DD05788
CLEANSTART-2026-EG39405
CLEANSTART-2026-GX01236
CLEANSTART-2026-LE11246
CLEANSTART-2026-MX76059
CLEANSTART-2026-PO27799
CLEANSTART-2026-RN56220
CLEANSTART-2026-RU36468
CLEANSTART-2026-VJ37814
CVE-2026-42587
GHSA-F6HV-JMP6-3VWV
OPENSUSE-SU-2026:10795-1
SUSE-SU-2026:2308-1

Produtos afetados

Confluence
Netty
Red Os