CVE-2026-48040

Nome do Software Vulnerável e Versões Afetadas netty incubator codec.bhttp versões anteriores a 0.0.22.Final

Description A biblioteca implementa o Oblivious HTTP (RFC 9458) usando a biblioteca C HPKE do BoringSSL via JNI. Quando o sun.misc.Unsafe não está disponível — como quando a JVM é iniciada com -Dio.netty.noUnsafe=true, quando um SecurityManager restringe o acesso ou em JVMs não-HotSpot — um caminho de fallback é fornecido para ByteBufs diretos que não expõem seu endereço de memória através de hasMemoryAddress(). Nessas configurações, um invasor de rede não autenticado pode disparar operações criptográficas com requisições OHTTP manipuladas para corromper a memória de outras conexões simultâneas e expor o conteúdo de buffers diretos agrupados adjacentes. Isso ocorre independentemente de a verificação da tag AEAD (Authenticated Encryption with Associated Data) ter sucesso, pois o BoringSSL zera o buffer de saída em caso de falha. A divulgação de informações fornece a chave de criptografia necessária para extrair os dados vazados, comprometendo a confidencialidade e a integridade de todas as conexões que compartilham a mesma arena de buffer do Netty.

Recommendations Atualizar para a versão 0.0.22.Final.