CVE-2022-41915
CVE-2022-41915
Em resumo
O Netty não valida adequadamente valores de cabeçalhos HTTP quando usa um iterador, permitindo que atacantes injetem cabeçalhos maliciosos que dividem respostas HTTP e potencialmente sequestram sessões de usuários ou injetem conteúdo malicioso.
Detalhe técnico
A falha afeta Netty 4.1.83.Final até 4.1.85.Final onde DefaultHttpHeaders.set() com parâmetro Iterator não sanitiza adequadamente valores de cabeçalho (CWE-113). Um atacante pode fornecer valores de cabeçalho manipulados contendo sequências CRLF via chamadas da API baseada em iterador para realizar HTTP Response Splitting (CWE-436), contornando validações presentes em outros caminhos de código. Corrigido em 4.1.86.Final.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Netty project is an event-driven asynchronous network application framework. Starting in version 4.1.83.Final and prior to 4.1.86.Final, when calling `DefaultHttpHeadesr.set` with an _iterator_ of values, header value validation was not performed, allowing malicious header values in the iterator to perform HTTP Response Splitting. This issue has been patched in version 4.1.86.Final. Integrators can work around the issue by changing the `DefaultHttpHeaders.set(CharSequence, Iterator<?>)` call, into a `remove()` call, and call `add()` in a loop over the iterator of values.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
Produtos afetados
netty · nettyQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://github.com/netty/netty/commit/fe18adff1c2b333acb135ab779a3b9ba3295a1c4https://github.com/netty/netty/issues/13084https://github.com/netty/netty/pull/12760https://github.com/netty/netty/security/advisories/GHSA-hh82-3pmq-7frphttps://lists.debian.org/debian-lts-announce/2023/01/msg00008.htmlhttps://security.netapp.com/advisory/ntap-20230113-0004/https://www.debian.org/security/2023/dsa-5316