CVE-2026-48006

Nome do Software Vulnerável e Versões Afetadas Netty versões anteriores a 4.1.135.Final Netty versões anteriores a 4.2.15.Final

Descrição O manipulador RedisArrayAggregator vaza permanentemente buffers de memória direta agrupados quando uma conexão de pipeline Redis é encerrada antes que um agregado de array RESP seja concluído. O manipulador retém mensagens filhas no campo depths, mas não define os métodos channelInactive, handlerRemoved ou exceptionCaught para liberá-las durante o encerramento do pipeline. Como os buffers vazados são fatias de chunks do PooledByteBufAllocator, eles impedem que esses chunks retornem ao pool de memória direta global da JVM. A rotatividade contínua de conexões por qualquer peer de rede esgota esse pool compartilhado, eventualmente causando falhas de alocação em todos os canais Netty no processo.

Recomendações Atualize para a versão 4.1.135.Final. Atualize para a versão 4.2.15.Final.