CVE-2026-48059
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 45 - wyżej niż 45% wszystkich znanych CVE
Streszczenie
W bibliotece Netty wykryto podatność na wyciek pamięci natywnej lub sterty podczas przetwarzania protokołu HAProxy PROXY v2. Każde połączenie z poprawnym nagłówkiem zawierającym zagnieżdżone rekordy TLV typu PP2_TYPE_SSL na głębokości 2 lub większej powoduje trwałe zablokowanie bufora kumulacyjnego, nawet po normalnym zwolnieniu obiektu HAProxyMessage.
Ocena ryzyka
Wyciek pamięci może prowadzić do wyczerpania dostępnej pamięci w aplikacji, powodując jej awarię lub znaczące spowolnienie działania serwera, co stanowi ryzyko dla dostępności usług.
Rekomendacja
Należy niezwłocznie zaktualizować bibliotekę Netty do wersji 4.1.135.Final lub 4.2.15.Final, które zawierają poprawkę eliminującą wyciek pamięci.
Oryginalny opis (angielski, źródło NVD)
Netty is a network application framework for development of protocol servers and clients. Prior to versions 4.1.135.Final and 4.2.15.Final, the HAProxy PROXY protocol v2 codec in netty leaks native or heap memory on every connection when a client sends a syntactically valid header containing nested `PP2_TYPE_SSL` TLVs (type-length-value records) at depth two or greater. The leak occurs on the successful parse path — no exception is thrown, the message fires downstream, the decoder removes itself, and the application releases the `HAProxyMessage` normally. Yet the underlying cumulation buffer (a pooled, potentially direct `ByteBuf` allocated by the channel) remains permanently pinned. Versions 4.1.135.Final and 4.2.15.Final patch the issue.

