CVE-2026-42587 in netty-codec-http
요약
\~에 의해 VulDB • 2026. 05. 28.
Netty는 비동기적이고 이벤트 기반의 네트워크 애플리케이션 프레임워크입니다. 4.2.13.Final 및 4.1.133.Final 이전 버전에서 HttpContentDecompressor는 압축 해제 버퍼 크기를 제한하고 decompression bomb 공격을 방지하기 위해 maxAllocation 매개변수를 허용합니다. 이 제한은 ZlibDecoder를 통해 gzip 및 deflate 인코딩에 대해 올바르게 적용되지만, 콘텐츠 인코딩이 br(Brotli), zstd 또는 snappy일 경우 묵시적으로 무시됩니다. 공격자는 Content-Encoding: gzip 대신 Content-Encoding: br을 사용하여 압축된 페이로드를 전송함으로써 구성된 압축 해제 제한을 우회할 수 있으며, 이는 무제한 메모리 할당과 메모리 부족으로 인한 서비스 거부(DoS)를 초래합니다. 동일한 취약점은 HTTP/2 연결에 대한 DelegatingDecompressorFrameListener에서도 존재합니다. 이 취약점은 4.2.13.Final 및 4.1.133.Final에서 수정되었습니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.