CVE-2026-50010

Nome do Software Vulnerável e Versões Afetadas Netty versões anteriores a 4.1.135.Final Netty versões anteriores a 4.2.15.Final

Description Netty é um framework de aplicação de rede utilizado para o desenvolvimento de servidores e clientes de protocolo. A função SimpleTrustManagerFactory.engineGetTrustManagers() e caminhos relacionados envolvem o X509TrustManager simples fornecido pelo usuário em um X509TrustManagerWrapper. Este wrapper estende o X509ExtendedTrustManager, mas implementa a função checkServerTrusted(chain, authType, SSLEngine) de 3 argumentos descartando o SSLEngine e chamando o delegado de 2 argumentos. Como o objeto é identificado como um X509ExtendedTrustManager, wrappers internos do SunJSSE ou do Netty não o envolvem novamente para adicionar a identificação de endpoint. Isso resulta na ausência de verificação de nome de host quando um cliente é construído usando SslContextBuilder.forClient().trustManager(somePlainX509TrustManager), mesmo que o endpointIdentificationAlgorithm esteja definido como "HTTPS" por padrão, potencialmente permitindo ataques de man-in-the-middle.

Recommendations Atualizar para a versão 4.1.135.Final. Atualizar para a versão 4.2.15.Final.