CVE-2026-50020

Nome do Software Vulnerável e Versões Afetadas Netty versões anteriores a 4.1.135.Final Netty versões anteriores a 4.2.15.Final

Description Antes de ler a primeira linha de requisição, a função HttpObjectDecoder ignora silenciosamente todos os espaços em branco e cada byte para o qual Character.isISOControl(b) seja verdadeiro (0x00–0x1F e 0x7F). Este comportamento diverge da RFC 9112 §2.2, que permite apenas que os servidores ignorem linhas CRLF vazias que precedem a linha de requisição para lidar com soluções alternativas de POST do HTTP/1.0. Ao absorver caracteres de controle que não sejam CRLF, como NUL, SOH e STX, o software pode ser explorado para confusão de limite de requisição em transportes pipelined ou multiplexados. Isso ocorre quando um componente de front-end, como um balanceador de carga ou terminador TLS, trata esses bytes de forma diferente do Netty, podendo levar a ataques de dessincronização ou smuggling de requisições.

Recommendations Atualizar para a versão 4.1.135.Final. Atualizar para a versão 4.2.15.Final.