CVE-2026-42579— Netty 输入验证错误漏洞
新しい脆弱性情報の通知を購読するログインして購読
I. CVE-2026-42579の基本情報
脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗ 高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
Netty: DNS Codec Input Validation Bypass in Netty (Encoder + Decoder)
ソース: NVD (National Vulnerability Database)
脆弱性説明
Netty is an asynchronous, event-driven network application framework. Prior to 4.2.13.Final and 4.1.133.Final, Netty's DNS codec does not enforce RFC 1035 domain name constraints during either encoding or decoding. This creates a bidirectional attack surface: malicious DNS responses can exploit the decoder, and user-influenced hostnames can exploit the encoder. This vulnerability is fixed in 4.2.13.Final and 4.1.133.Final.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
输入验证不恰当
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
Netty 输入验证错误漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
Netty是Netty社区的一款非阻塞I/O客户端-服务器框架,它主要用于开发Java网络应用程序,如协议服务器和客户端等。 Netty 4.2.13.Final之前版本和4.1.133.Final之前版本存在输入验证错误漏洞,该漏洞源于DNS编解码器未执行RFC 1035域名约束,可能导致双向攻击。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)
影響を受ける製品
II. CVE-2026-42579の公開POC
| # | POC説明 | ソースリンク | Shenlongリンク |
|---|
AI生成POCプレミアム
公開POCは見つかりませんでした。
ログインしてAI POCを生成III. CVE-2026-42579のインテリジェンス情報
请登录查看更多情报信息。
- https://github.com/netty/netty/security/advisories/GHSA-cm33-6792-r9fmx_refsource_CONFIRM
- https://nvd.nist.gov/vuln/detail/CVE-2026-42579
Same Patch Batch · netty · 2026-05-13 · 12 CVEs total
| CVE-2026-42587 | 7.5 HIGH | Netty: HttpContentDecompressor maxAllocation bypass via Content-Encoding: br/zstd/snappy e |
| CVE-2026-42582 | 7.5 HIGH | Netty: HTTP/3 QPACK literal unbounded allocation |
| CVE-2026-42583 | 7.5 HIGH | Netty: Lz4FrameDecoder resource exhaustion |
| CVE-2026-42577 | 7.5 HIGH | Netty: epoll transport denial of service via RST on half-closed TCP connection |
| CVE-2026-42584 | 7.3 HIGH | Netty: HttpClientCodec response desynchronization |
| CVE-2026-42586 | 6.8 MEDIUM | Netty: CRLF Injection in Netty Redis Codec Encoder |
| CVE-2026-42580 | 6.5 MEDIUM | Netty: HTTP Request Smuggling due to incorrect chunk size parsing |
| CVE-2026-42585 | 6.5 MEDIUM | Netty: HTTP Request Smuggling due to malformed Transfer-Encoding |
| CVE-2026-42581 | 5.8 MEDIUM | Netty: HTTP/1.0 TE+CL Coexistence Bypasses Smuggling Sanitization |
| CVE-2026-44248 | 5.3 MEDIUM | Netty: Resource exhaustion in MqttDecoder |
| CVE-2026-42578 | Netty: HTTP Header Injection via HttpProxyHandler Disabled Validation |
IV. 関連脆弱性
同じ製品: netty
- CVE-2026-44248
Netty: Resource exhaustion in MqttDecoder - CVE-2026-42587
Netty: HttpContentDecompressor maxAllocation bypass via Cont - CVE-2026-42586
Netty: CRLF Injection in Netty Redis Codec Encoder - CVE-2026-42585
Netty: HTTP Request Smuggling due to malformed Transfer-Enco - CVE-2026-42584
Netty: HttpClientCodec response desynchronization
同じベンダー: netty
- CVE-2026-44248
Netty: Resource exhaustion in MqttDecoder - CVE-2026-42587
Netty: HttpContentDecompressor maxAllocation bypass via Cont - CVE-2026-42586
Netty: CRLF Injection in Netty Redis Codec Encoder - CVE-2026-42585
Netty: HTTP Request Smuggling due to malformed Transfer-Enco - CVE-2026-42584
Netty: HttpClientCodec response desynchronization
V. CVE-2026-42579へのコメント
まだコメントはありません