CVE-2026-48480
ŚrednieCVSS 6.6Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 6 - wyżej niż 6% wszystkich znanych CVE
Streszczenie
Kodowanie netty incubator codec.bhttp to parser binarny HTTP w języku Java. W wersji przed 0.0.22.Final implementacja codec-ohttp nie weryfikuje, czy otrzymano kryptograficznie podpisany ostatni fragment przed zakończeniem zewnętrznego ciała HTTP.
Ocena ryzyka
Atakujący mogą wykorzystać tę lukę, aby przesłać niekompletną wiadomość chunked-OHTTP, co może prowadzić do braku błędów deszyfrowania i wyjątków w aplikacji odbierającej. To stwarza ryzyko dla integralności przesyłanych danych.
Rekomendacja
Zaleca się aktualizację do wersji 0.0.22.Final lub nowszej, aby usunąć tę podatność i zabezpieczyć aplikację przed potencjalnymi atakami.
Oryginalny opis (angielski, źródło NVD)
The netty incubator codec.bhttp is a java language binary http parser. Prior to version 0.0.22.FInal, the codec-ohttp implementation of draft-ietf-ohai-chunked-ohttp does not verify that a cryptographically-signed final chunk was received before the outer HTTP body terminates. An on-path adversary (the OHTTP relay itself, or any MITM on the relay↔gateway or relay↔client transport) can forward a prefix of a legitimate chunked-OHTTP message—cut at a non-final chunk boundary—and close the outer body cleanly, producing no decryption error and no exception in the receiving application. Version 0.0.22.Final fixes the issue.

