CVE-2026-42584 in netty-codec-http
要約
〜によって VulDB • 2026年05月22日
Nettyは、非同期かつイベント駆動型のネットワークアプリケーションフレームワークです。4.2.13.Finalおよび4.1.133.Finalより前のバージョンでは、HttpClientCodecは、1xx応答を含む、各受信応答に対してqueue.poll()を1回呼び出すことで、受信応答と送信要求をペアリングします。クライアントがGETリクエストに続いてHEADリクエストをパイプラインし、サーバーが103応答、次にGETボディ付きの200応答、そしてHEADに対する200応答を送信した場合、キューはHEADリクエストを最初の200応答とペアリングします。HEADリクエストのルールにより、そのメッセージのボディの読み込みがスキップされるため、GETエンティティのバイトがストリーム上に残ったままになり、続く200応答が誤ったオフセットから解析されます。この脆弱性は、4.2.13.Finalおよび4.1.133.Finalで修正されています。
If you want to get best quality of vulnerability data, you may have to visit VulDB.