CVE-2026-41417 in Netty정보

요약

\~에 의해 VulDB • 2026. 05. 14.

Netty에서는 `DefaultHttpRequest` 또는 `DefaultFullHttpRequest`가 먼저 생성되고 이후 `setUri()`를 통해 URI가 변경될 경우 요청 라인(request-line) 검증이 우회될 수 있습니다. 생성자(constructor)는 시작 라인(start-line)을 깨뜨릴 수 있는 CRLF 및 공백 문자를 거부하지만, `setUri()`는 동일한 검증을 적용하지 않습니다. 이후 `HttpRequestEncoder` 및 `RtspEncoder`는 URI를 요청 라인에 그대로 작성합니다. 공격자가 제어하는 입력이 `setUri()`에 도달하면 CRLF 주입과 추가적인 HTTP 또는 RTSP 요청의 삽입이 가능해지며, 이는 HTTP 측면에서 HTTP 요청 스머핑(smuggling) 또는 비동기화(desynchronization)를, RTSP 측면에서는 요청 주입(request injection)을 초래합니다. 이 문제는 버전 4.2.13.Final 및 4.1.133.Final에서 수정되었습니다.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

책임이 있는

GitHub M

예약하다

2026. 04. 20.

공개

2026. 05. 07.

모더레이션

수락

항목

VDB-361738

CPE

준비됨

CWE

CWE-93 (확인됨)

CVSS

5.3 (CNA)

EPSS

0.00020

KEV

아니요

활동

매우 낮음

출처

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-41417
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-41417
CVE Details	https://www.cvedetails.com/cve/CVE-2026-41417/

◂ 이전 개요 다음 ▸

Do you want to use VulDB in your project?

Use the official API to access entries easily!