CVE-2026-42579
Netty: DNS Codec Input Validation Bypass in Netty (Encoder + Decoder)
Em resumo
O Netty não valida adequadamente nomes de domínio no seu processador de DNS, permitindo que atacantes enviem respostas DNS malformadas ou injetem nomes de host maliciosos que burlam as verificações de segurança.
Detalhe técnico
O codec DNS no Netty anterior às versões 4.2.13.Final e 4.1.133.Final não aplica as restrições de nomes de domínio definidas na RFC 1035 durante codificação e decodificação. Atacantes podem explorar respostas DNS maliciosas (vetor de ataque no decodificador) ou nomes de host controlados por usuários (vetor no codificador) para contornar validação de entrada, causando potencial negação de serviço ou comportamento inesperado.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Netty is an asynchronous, event-driven network application framework. Prior to 4.2.13.Final and 4.1.133.Final, Netty's DNS codec does not enforce RFC 1035 domain name constraints during either encoding or decoding. This creates a bidirectional attack surface: malicious DNS responses can exploit the decoder, and user-influenced hostnames can exploit the encoder. This vulnerability is fixed in 4.2.13.Final and 4.1.133.Final.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
Produtos afetados
netty · nettyQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →