CVE-2026-48043
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 44 - wyżej niż 44% wszystkich znanych CVE
Streszczenie
W bibliotece Netty w komponencie netty-codec-http2 przed wersjami 4.1.135.Final i 4.2.15.Final wykryto podatność polegającą na wycieku zasobów w klasie `DelegatingDecompressorFrameListener`. Zdalny atakujący może wysłać specjalnie spreparowane ramki HTTP/2, które powodują rzucenie wyjątku przez kontroler przepływu, co prowadzi do nienależytego zwolnienia buforów `ByteBuf` i w konsekwencji do wyczerpania pamięci JVM.
Ocena ryzyka
Ryzyko dla organizacji polega na możliwości przeprowadzenia ataku typu odmowa usługi (DoS) poprzez zdalne wywołanie wycieku pamięci, co może doprowadzić do awarii całej maszyny JVM i przerwania działania aplikacji.
Rekomendacja
Należy niezwłocznie zaktualizować bibliotekę Netty do wersji 4.1.135.Final lub 4.2.15.Final, które zawierają poprawkę eliminującą podatność.
Oryginalny opis (angielski, źródło NVD)
Netty is a network application framework for development of protocol servers and clients. In netty-codec-http2 prior to versions 4.1.135.Final and 4.2.15.Final, the `DelegatingDecompressorFrameListener` class orchestrates HTTP/2 decompression by embedding a per-stream `EmbeddedChannel` that runs the appropriate decompression codec (gzip, deflate, zstd) and forwards decompressed chunks to a wrapped listener. Each decompressed chunk is a pooled `ByteBuf` handed to an anonymous `ChannelInboundHandlerAdapter` tail handler, which becomes the sole owner responsible for releasing it. A remote peer could send frames that would result in the flow-controller throwing and so trigger a resource leak which at the end might take down the whole JVM due OOME. Versions 4.1.135.Final and 4.2.15.Final patch the issue.

