CVE-2026-48043

Nome do Software Vulnerável e Versões Afetadas netty-codec-http2 versões anteriores a 4.1.135.Final netty-codec-http2 versões anteriores a 4.2.15.Final

Descrição A classe DelegatingDecompressorFrameListener gerencia a descompressão HTTP/2 utilizando um EmbeddedChannel por fluxo para executar codecs de descompressão como gzip, deflate ou zstd. Os blocos descomprimidos são tratados como objetos ByteBuf agrupados e passados para um manipulador de cauda ChannelInboundHandlerAdapter anônimo, responsável por sua liberação. Um peer remoto pode enviar quadros especificamente criados que fazem com que o controlador de fluxo lance uma exceção, desencadeando um vazamento de recursos. Esse vazamento pode levar a um erro de falta de memória (OutOfMemoryError - OOME), potencialmente derrubando a Java Virtual Machine (JVM).

Recomendações Atualizar para a versão 4.1.135.Final. Atualizar para a versão 4.2.15.Final.