CVE-2026-50011

Nome do Software Vulnerável e Versões Afetadas Netty versões anteriores a 4.1.135.Final Netty versões anteriores a 4.2.15.Final

Description Netty é um framework de aplicação de rede para desenvolvimento de servidores e clientes de protocolo. O RedisArrayAggregator pré-aloca um ArrayList com uma capacidade inicial baseada na contagem de elementos de array RESP declarada em um cabeçalho de array. Essa contagem é obtida da rede antes que as mensagens filhas existam, permitindo que um cabeçalho malicioso pequeno solicite uma capacidade inicial enorme. O agregador inicia um novo nível de agregação ao receber um ArrayHeaderRedisMessage e executa new ArrayList<>(length) para comprimentos positivos sem um máximo configurável. Embora o RedisDecoder aplique o RedisConstants.REDIS MESSAGE MAX LENGTH para comprimentos de strings em massa, ele não aplica esse limite aos comprimentos de cabeçalho de array. Isso permite que tamanhos de array declarados extremamente grandes passem pela decodificação, levando à reserva imediata de Object[] e potencial exaustão de recursos. O problema envolve a função decodeLength() em io.netty.handler.codec.redis.RedisDecoder e a função decodeRedisArrayHeader() em io.netty.handler.codec.redis.RedisArrayAggregator.

Recommendations Atualizar para a versão 4.1.135.Final. Atualizar para a versão 4.2.15.Final.