Katalog CVE

CVE-2026-48043

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.59%

Percentyl 44 - wyżej niż 44% wszystkich znanych CVE

Streszczenie

W bibliotece Netty w komponencie netty-codec-http2 przed wersjami 4.1.135.Final i 4.2.15.Final wykryto podatność polegającą na wycieku zasobów w klasie `DelegatingDecompressorFrameListener`. Zdalny atakujący może wysłać specjalnie spreparowane ramki HTTP/2, które powodują rzucenie wyjątku przez kontroler przepływu, co prowadzi do nienależytego zwolnienia buforów `ByteBuf` i w konsekwencji do wyczerpania pamięci JVM.

Ocena ryzyka

Ryzyko dla organizacji polega na możliwości przeprowadzenia ataku typu odmowa usługi (DoS) poprzez zdalne wywołanie wycieku pamięci, co może doprowadzić do awarii całej maszyny JVM i przerwania działania aplikacji.

Rekomendacja

Należy niezwłocznie zaktualizować bibliotekę Netty do wersji 4.1.135.Final lub 4.2.15.Final, które zawierają poprawkę eliminującą podatność.

Oryginalny opis (angielski, źródło NVD)

Netty is a network application framework for development of protocol servers and clients. In netty-codec-http2 prior to versions 4.1.135.Final and 4.2.15.Final, the `DelegatingDecompressorFrameListener` class orchestrates HTTP/2 decompression by embedding a per-stream `EmbeddedChannel` that runs the appropriate decompression codec (gzip, deflate, zstd) and forwards decompressed chunks to a wrapped listener. Each decompressed chunk is a pooled `ByteBuf` handed to an anonymous `ChannelInboundHandlerAdapter` tail handler, which becomes the sole owner responsible for releasing it. A remote peer could send frames that would result in the flow-controller throwing and so trigger a resource leak which at the end might take down the whole JVM due OOME. Versions 4.1.135.Final and 4.2.15.Final patch the issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS