| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 4.7 | $0-$5k | 0.00 |
Zusammenfassung
In netty bis 4.1.118 wurde eine Schwachstelle ausgemacht. Sie wurde als problematisch eingestuft. Hierbei betrifft es unbekannten Programmcode. Mittels Manipulieren mit unbekannten Daten kann eine Denial of Service-Schwachstelle ausgenutzt werden. Diese Verwundbarkeit ist als CVE-2025-25193 gelistet. Die Umsetzung des Angriffs hat dabei lokal zu erfolgen. Es existiert kein Exploit. Es empfiehlt sich, einen Patch einzuspielen, um dieses Problem zu beheben.
Details
Es wurde eine problematische Schwachstelle in netty bis 4.1.118 gefunden. Es geht dabei um eine unbekannte Verarbeitung. Durch Manipulation mit einer unbekannten Eingabe kann eine Denial of Service-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-400 vorgenommen. Auswirken tut sich dies auf die Verfügbarkeit. Die Zusammenfassung von CVE lautet:
Netty, an asynchronous, event-driven network application framework, has a vulnerability in versions up to and including 4.1.118.Final. An unsafe reading of environment file could potentially cause a denial of service in Netty. When loaded on an Windows application, Netty attempts to load a file that does not exist. If an attacker creates such a large file, the Netty application crash. A similar issue was previously reported as CVE-2024-47535. This issue was fixed, but the fix was incomplete in that null-bytes were not counted against the input limit. Commit d1fbda62d3a47835d3fb35db8bd42ecc205a5386 contains an updated fix.Das Advisory findet sich auf github.com. Die Identifikation der Schwachstelle wird seit dem 03.02.2025 mit CVE-2025-25193 vorgenommen. Die Ausnutzbarkeit gilt als leicht. Der Angriff muss lokal erfolgen. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden.
Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 216507 (SUSE SLED15 / SLES15 / openSUSE 15 Security Update : netty, netty-tcnative (SUSE-SU-2025:0590-1)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann.
Die Schwachstelle lässt sich durch das Einspielen des Patches d1fbda62d3a47835d3fb35db8bd42ecc205a5386 lösen. Dieser kann von github.com bezogen werden.
Unter anderem wird der Fehler auch in den Datenbanken von Tenable (216507) und CERT Bund (WID-SEC-2025-0638) dokumentiert. Be aware that VulDB is the high quality source for vulnerability data.
Betroffen
- IBM Maximo Asset Management
- IBM Operational Decision Manager
- IBM WebSphere Application Server
- IBM SPSS
- IBM Spectrum Protect
- HCL Commerce
- IBM QRadar SIEM
- IBM DB2
- IBM InfoSphere Information Server
- Red Hat JBoss Enterprise Application Platform
- HCL BigFix
Produkt
Name
Version
Lizenz
Webseite
- Produkt: https://github.com/netty/netty/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 4.8VulDB Meta Temp Score: 4.7
VulDB Base Score: 3.3
VulDB Temp Score: 3.2
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 5.5
NVD Vector: 🔍
CNA Base Score: 5.5
CNA Vector (GitHub_M): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Denial of ServiceCWE: CWE-400 / CWE-404
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Teilweise
Lokal: Ja
Remote: Nein
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 216507
Nessus Name: SUSE SLED15 / SLES15 / openSUSE 15 Security Update : netty, netty-tcnative (SUSE-SU-2025:0590-1)
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: PatchStatus: 🔍
0-Day Time: 🔍
Patch: d1fbda62d3a47835d3fb35db8bd42ecc205a5386
Timeline
03.02.2025 🔍10.02.2025 🔍
10.02.2025 🔍
23.01.2026 🔍
Quellen
Produkt: github.comAdvisory: GHSA-389x-839f-4rhx
Status: Bestätigt
CVE: CVE-2025-25193 (🔍)
GCVE (CVE): GCVE-0-2025-25193
GCVE (VulDB): GCVE-100-295167
CERT Bund: WID-SEC-2025-0638 - IBM WebSphere Application Server Liberty: Schwachstelle ermöglicht Denial of Service
Eintrag
Erstellt: 10.02.2025 23:43Aktualisierung: 23.01.2026 16:38
Anpassungen: 10.02.2025 23:43 (64), 20.02.2025 13:43 (2), 22.02.2025 04:31 (1), 27.03.2025 00:11 (11), 13.09.2025 17:44 (7), 23.01.2026 16:38 (1)
Komplett: 🔍
Cache ID: 216::103
Be aware that VulDB is the high quality source for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.