HTTP fails to validate against control chars in header names which may lead to HTTP request smuggling

O Netty não valida corretamente nomes de cabeçalhos HTTP que contêm caracteres de controle no início ou fim, o que pode permitir que atacantes manipulem requisições quando o framework é usado como proxy, potencialmente levando a ataques de contrabando de requisições HTTP.

O Netty anterior à versão 4.1.71.Final remove caracteres de controle de nomes de cabeçalhos em vez de rejeitá-los, violando as especificações HTTP. Quando usado como proxy, essa sanitização permite que cabeçalhos manipulados contornem a validação em sistemas backend, viabilizando ataques de contrabando de requisições HTTP onde atacantes injetam requisições maliciosas através de nomes de cabeçalho especialmente construídos.