一、 漏洞 CVE-2025-24970 基础信息
漏洞信息
# SslHandler 无法正确验证数据包,而使用原生 SSLEngine 时可能导致原生 Crash

## 漏洞概述
Netty,一个异步事件驱动的网络应用框架,在特定版本中存在漏洞。当通过SslHandler接收到特殊构造的数据包时,可能无法正确验证数据包,导致原生崩溃。

## 影响版本
- 4.1.91.Final 至 4.1.118.Final 之前的版本

## 漏洞细节
当通过SslHandler接收到特殊构造的数据包时,如果未能正确验证数据包,可能会导致原生崩溃。

## 影响
受影响的版本在处理特定构造的数据包时可能导致原生崩溃。建议升级到版本4.1.118.Final或采用变通方法,如禁用原生SSLEngine或手动修改代码。
备注
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
SslHandler doesn't correctly validate packets which can lead to native crash when using native SSLEngine
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Netty, an asynchronous, event-driven network application framework, has a vulnerability starting in version 4.1.91.Final and prior to version 4.1.118.Final. When a special crafted packet is received via SslHandler it doesn't correctly handle validation of such a packet in all cases which can lead to a native crash. Version 4.1.118.Final contains a patch. As workaround its possible to either disable the usage of the native SSLEngine or change the code manually.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
输入验证不恰当
来源:美国国家漏洞数据库 NVD
漏洞标题
Netty 输入验证错误漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Netty是Netty社区的一款非阻塞I/O客户端-服务器框架,它主要用于开发Java网络应用程序,如协议服务器和客户端等。 Netty 4.1.91.Final版本至4.1.118.Final之前版本存在输入验证错误漏洞,该漏洞源于SslHandler对特定恶意数据包的验证缺陷,导致原生崩溃。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
输入验证错误
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-24970 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-24970 的情报信息