CVE-2026-44894

Nome do Software Vulnerável e Versões Afetadas Netty (ionettyincubatorcodecquic) (versões afetadas não especificadas)

Descrição O componente NoQuicTokenHandler não valida tokens adequadamente quando nenhum manipulador de token específico é definido pela aplicação. Especificamente, a função validateToken() retorna 0 incondicionalmente, o que a função QuicheQuicServerCodec.handlePacket() interpreta como um token válido. Isso permite que um invasor falsifique o endereço IP de origem de uma vítima e inclua quaisquer bytes de token não vazios em um pacote Initial. Consequentemente, o servidor trata o endereço da vítima como validado, ignorando o limite de envio anti-amplificação de 3x definido na RFC 9000 §8.1. Isso possibilita que o servidor reflita fluxos de handshake de tamanho total, como certificados, para a vítima sem as restrições de amplificação padrão.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.