Netty — это асинхронная платформа сетевых приложений, управляемая событиями. В версиях до 4.1.132.Final и 4.2.10.Final Netty неправильно анализирует строки в кавычках в значениях расширения фрагментированной кодировки передачи HTTP/1.1, что позволяет атаковать контрабанду запросов. Версии 4.1.132.Final и 4.2.10.Final устраняют проблему.
Показать оригинальное описание (EN)
Netty is an asynchronous, event-driven network application framework. In versions prior to 4.1.132.Final and 4.2.10.Final, Netty incorrectly parses quoted strings in HTTP/1.1 chunked transfer encoding extension values, enabling request smuggling attacks. Versions 4.1.132.Final and 4.2.10.Final fix the issue.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Высокое
Полная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 2
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Netty Netty
cpe:2.3:a:netty:netty:*:*:*:*:*:*:*:*
|
— |
4.1.132
|
|
Netty Netty
cpe:2.3:a:netty:netty:*:*:*:*:*:*:*:*
|
4.2.0
|
4.2.10
|
Ссылки 4
https://github.com/netty/netty/security/advisories/GHSA-pwqr-wmgm-9rr8
security-advisories@github.com
https://w4ke.info/2025/06/18/funky-chunks.html
security-advisories@github.com
https://w4ke.info/2025/10/29/funky-chunks-2.html
security-advisories@github.com
https://www.rfc-editor.org/rfc/rfc9110
security-advisories@github.com