PT-2026-47610 · Netty · Netty
Violetagg
·
Publicado
2026-06-08
·
Atualizado
2026-06-15
·
CVE-2026-45674
CVSS v3.1
10
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N |
Nome do Software Vulnerável e Versões Afetadas
Netty versões anteriores a 4.1.135.Final
Netty versões anteriores a 4.2.15.Final
Description
O DnsResolveContext do Netty falha ao validar a origem (bailiwick) de registros CNAME em respostas DNS. Na função
buildAliasMap() dentro de io.netty.resolver.dns.DnsResolveContext, o resolvedor processa a seção ANSWER de uma resposta DNS e armazena em cache todos os registros CNAME encontrados sem verificação. Isso pode levar ao Envenenamento de Cache DNS (Bailiwick Bypass), onde um invasor fornece dados DNS não autorizados para um domínio que não controla.Recommendations
Atualizar para a versão 4.1.135.Final
Atualizar para a versão 4.2.15.Final
Correção
Insufficient Verification of Data Authenticity
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Netty