PT-2026-48916 · Netty · Netty
Ashleytolbert
·
Publicado
2026-06-12
·
Atualizado
2026-06-15
·
CVE-2026-50560
CVSS v4.0
6.9
Média
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
Netty versões anteriores a 4.1.135.Final
Netty versões anteriores a 4.2.15.Final
Description
O tratamento do tamanho máximo do cabeçalho HTTP/2 do Netty permite um ataque semelhante ao HTTP/2 Rapid Reset. Quando um cliente envia a configuração
SETTINGS MAX HEADER LIST SIZE, a estrutura lê a requisição, a encaminha para a origem e tenta produzir uma resposta, mas subsequentemente cria uma exceção ao escrever os cabeçalhos da resposta. Isso resulta em um comportamento funcional semelhante a um ataque de reset HTTP/2, porém com uma assinatura de rede diferente.Recommendations
Atualizar para a versão 4.1.135.Final
Atualizar para a versão 4.2.15.Final
Correção
Allocation of Resources Without Limits
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Netty