CVE-2026-44248 in netty-codec-mqttinformación

Resumen

por VulDB • 2026-05-13

Netty es un framework de aplicaciones de red asíncrono y basado en eventos. Antes de las versiones 4.2.13.Final y 4.1.133.Final, la sección de Propiedades del encabezado MQTT 5 se analizaba y almacenaba en búfer antes de que se aplicara cualquier límite de tamaño de mensaje. Específicamente, en MqttDecoder, el método decodeVariableHeader() se llamaba antes de la verificación bytesRemainingBeforeVariableHeader > maxBytesInMessage. decodeVariableHeader() puede invocar otros métodos que a su vez llaman a decodeProperties(). Efectivamente, Netty no aplica ningún límite al tamaño de las propiedades que se están analizando. Además, dado que MqttDecoder extiende ReplayingDecoder, Netty volverá a analizar repetidamente las secciones de Propiedades de tamaño enorme y almacenará los bytes en memoria hasta que el análisis se complete por completo. Esto puede provocar un alto consumo de recursos tanto en CPU como en memoria. Esta vulnerabilidad está corregida en las versiones 4.2.13.Final y 4.1.133.Final.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-05-05

Divulgación

2026-05-13

Moderación

aceptado

Artículo

VDB-363698

CPE

listo

EPSS

0.00018

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-44248
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-44248
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-44248/

AnteriorVisión De ConjuntoPróximo

Do you want to use VulDB in your project?

Use the official API to access entries easily!