PT-2026-43441 · Maven+1 · Io.Netty.Incubator:Netty-Incubator-Codec-Ohttp+1
Norman Maurer
+1
·
Publicado
2026-05-26
·
Atualizado
2026-06-05
·
CVE-2026-41207
CVSS v4.0
6.9
Média
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
netty incubator codec.bhttp versões anteriores a 0.0.21.Final
Descrição
A função
HKDF expand() retorna um array de bytes não nulo preenchido com zeros em caso de falha, tornando impossível distinguir entre uma operação bem-sucedida e uma falha. Esta saída serve como material de chave para o AEAD (Authenticated Encryption with Associated Data) de resposta, o que significa que uma falha resulta em uma chave composta apenas por zeros. Da mesma forma, quando o EVP HPKE CTX export falha, ele retorna um array de bytes vazio preenchido com zeros, que é passado para a função createResponseAEAD() em OHttpCrypto. Esse comportamento permite a criação de uma chave AEAD determinística e previsível por um invasor.Recomendações
Atualize para a versão 0.0.21.Final.
Correção
Use of Insufficiently Random Values
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Io.Netty.Incubator:Netty-Incubator-Codec-Ohttp
Netty-Incubator-Codec-Ohttp