Katalog CVE

CVE-2026-50010

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.27%

Percentyl 19 - wyżej niż 19% wszystkich znanych CVE

Streszczenie

W bibliotece Netty wykryto podatność polegającą na tym, że opakowanie zwykłego X509TrustManager w X509TrustManagerWrapper pomija weryfikację nazwy hosta (hostname verification). Mimo domyślnego ustawienia endpointIdentificationAlgorithm="HTTPS" w Netty 4.2, klient skonfigurowany z SslContextBuilder.forClient().trustManager(somePlainX509TrustManager) nie przeprowadza żadnej weryfikacji tożsamości serwera.

Ocena ryzyka

Atakujący może przeprowadzić atak typu man-in-the-middle (MITM), podszywając się pod zaufany serwer, ponieważ brak weryfikacji nazwy hosta pozwala na użycie dowolnego certyfikatu pasującego do łańcucha zaufania.

Rekomendacja

Należy niezwłocznie zaktualizować bibliotekę Netty do wersji 4.1.135.Final lub 4.2.15.Final, które zawierają poprawkę eliminującą to zachowanie.

Oryginalny opis (angielski, źródło NVD)

Netty is a network application framework for development of protocol servers and clients. Prior to versions 4.1.135.Final and 4.2.15.Final, SimpleTrustManagerFactory.engineGetTrustManagers() and related paths wrap any user-supplied plain X509TrustManager in X509TrustManagerWrapper, which extends X509ExtendedTrustManager but implements the 3-arg checkServerTrusted(chain, authType, SSLEngine) by discarding the SSLEngine and calling the 2-arg delegate. Because the object now IS an X509ExtendedTrustManager, neither SunJSSE's internal AbstractTrustManagerWrapper nor Netty's own OpenSslX509TrustManagerWrapper will re-wrap it to add endpoint-identification. Consequently, even though Netty 4.2 sets endpointIdentificationAlgorithm="HTTPS" by default, a client built with `SslContextBuilder.forClient().trustManager(somePlainX509TrustManager)` performs no hostname verification at all. Versions 4.1.135.Final and 4.2.15.Final patch the issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS