CVE-2026-33870

Netty: HTTP Request Smuggling via Chunked Extension Quoted-String Parsing

CVSS 7.5 HIGHEPSS 0.5%CWE-444

Em resumo

Netty possui uma falha na forma como interpreta o formato de requisições HTTP, permitindo que atacantes enviem requisições especialmente construídas que podem contornar validações de segurança ou enganar o servidor para processar comandos maliciosos.

Detalhe técnico

Netty em versões anteriores a 4.1.132.Final e 4.2.10.Final contém uma vulnerabilidade de HTTP request smuggling (CWE-444) na análise de extensões de codificação chunked. O framework interpreta incorretamente strings entre aspas em valores de extensão de chunk, permitindo que um atacante injete requisições ambíguas processadas diferentemente por proxies intermediários e servidores backend, potencialmente resultando em contorno de filtros ou envenenamento de cache.

Resumo gerado e traduzido por IA a partir da descrição oficial.

Netty is an asynchronous, event-driven network application framework. In versions prior to 4.1.132.Final and 4.2.10.Final, Netty incorrectly parses quoted strings in HTTP/1.1 chunked transfer encoding extension values, enabling request smuggling attacks. Versions 4.1.132.Final and 4.2.10.Final fix the issue.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

Produtos afetados

netty · netty

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://github.com/netty/netty/security/advisories/GHSA-pwqr-wmgm-9rr8 https://w4ke.info/2025/06/18/funky-chunks.html https://w4ke.info/2025/10/29/funky-chunks-2.html https://www.rfc-editor.org/rfc/rfc9110