CVE-2026-42581 in Nettyजानकारी

सारांश

द्वारा VulDB • 15/05/2026

Netty एक असिंक्रोनस, इवेंट-ड्रिवन नेटवर्क एप्लिकेशन फ्रेमवर्क है। 4.2.13.Final और 4.1.133.Final से पहले, HttpObjectDecoder एक अनुरोध में Transfer-Encoding: chunked और Content-Length दोनों मौजूद होने पर, केवल HTTP/1.1 संदेशों के लिए, विरोधाभासी Content-Length हेडर को हटा देता था। HTTP/1.0 के लिए यह सुरक्षा तंत्र अनुपस्थित था। एक आक्रामक जो HTTP/1.0 अनुरोध में दोनों हेडर भेजता है, वह Netty को शरीर को chunked के रूप में डिकोड करने पर मजबूर करता है, जबकि आगे भेजे जाने वाले HttpMessage में Content-Length को अक्षुण्ण छोड़ देता है। Content-Length को Transfer-Encoding पर प्राथमिकता देने वाले किसी भी डाउनस्ट्रीम प्रॉक्सी या हैंडलर के साथ संदेश सीमाओं पर असहमति होगी, जिससे रिक्वेस्ट स्मॉगलिंग संभव हो जाती है। इस कमजोरी को 4.2.13.Final और 4.1.133.Final में ठीक किया गया है।

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

जिम्मेदार

GitHub M

आरक्षित करना

28/04/2026

प्रकटीकरण

13/05/2026

संयम

स्वीकृत

प्रविष्टि

VDB-363701

CPE

तैयार

CWE

CWE-444 (पुष्टि की गई)

CVSS

9.8 (NVD)

EPSS

0.00017

KEV

नहीं

गतिविधियाँ

बहुत कम

स्रोत

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-42581
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-42581
CVE Details	https://www.cvedetails.com/cve/CVE-2026-42581/

◂ पिछला सिंहावलोकन अगला ▸

Want to know what is going to be exploited?

We predict KEV entries!