CVE-2026-47244

Nome do Software Vulnerável e Versões Afetadas Netty versões anteriores a 4.1.135.Final Netty versões anteriores a 4.2.15.Final

Description No framework de aplicação de rede, o DefaultHttp2Connection.DefaultEndpoint inicializa maxActiveStreams e maxStreams como Integer.MAX VALUE, enquanto o Http2Settings não insere SETTINGS MAX CONCURRENT STREAMS por padrão. Se a aplicação não chamar explicitamente initialSettings().maxConcurrentStreams(n), o servidor HTTP/2 não anuncia nem impõe limites para streams simultâneos. Isso permite que uma única conexão TCP crie centenas de milhares de objetos de stream de longa duração, pois cada stream aberto aloca um objeto DefaultStream, slots de PropertyMap, estado do controlador de fluxo e uma entrada IntObjectHashMap. Esta condição também possibilita a amplificação de Rapid-Reset, onde a ausência de um limite simultâneo baixo aumenta a carga de trabalho no backend.

Recommendations Atualizar para a versão 4.1.135.Final. Atualizar para a versão 4.2.15.Final. Como mitigação temporária, chame explicitamente initialSettings().maxConcurrentStreams(n) para definir um limite de streams simultâneos.