CVE-2026-42587 in netty-codec-httpالمعلومات

الملخص

بحسب VulDB • 28/05/2026

Netty هو إطار عمل لتطبيقات الشبكة يعمل بشكل غير متزامن ويعتمد على الأحداث. قبل الإصدارين 4.2.13.Final و 4.1.133.Final، كان HttpContentDecompressor يقبل معلمة maxAllocation للحد من حجم مخزن فك الضغط ومنع هجمات القنبلة الانضغاطية (decompression bomb). يتم فرض هذا الحد بشكل صحيح لتشفير gzip و deflate عبر ZlibDecoder، لكنه يتم تجاهله بصمت عندما يكون تشفير المحتوى هو br (Brotli) أو zstd أو snappy. يمكن لمهاجم تجاوز حد فك الضغط المُعدّ بإرسال حمولة مضغوطة مع Content-Encoding: br بدلاً من Content-Encoding: gzip، مما يؤدي إلى تخصيص ذاكرة غير محدود ونقص في الذاكرة (Out-of-Memory) يؤدي إلى حجب الخدمة. توجد نفس الثغرة في DelegatingDecompressorFrameListener لاتصالات HTTP/2. تم إصلاح هذه الثغرة في الإصدارين 4.2.13.Final و 4.1.133.Final.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

28/04/2026

إفشاء

13/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-363697

CPE

جاهز

CWE

CWE-400 (مؤكد)

CVSS

7.5 (CNA)

EPSS

0.00018

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-42587
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-42587
CVE Details	https://www.cvedetails.com/cve/CVE-2026-42587/

التالي ▸نظرة عامة ◂ السابق

Want to stay up to date on a daily basis?

Enable the mail alert feature now!