CVE-2022-41915

CVSS 6.5 MEDIUMEPSS 0.9%CWE-113 CWE-436

En resumen

Netty falla en validar valores de encabezados HTTP cuando utiliza un iterador, permitiendo que atacantes inyecten encabezados maliciosos que dividan respuestas HTTP e potencialmente secuestren sesiones de usuarios o inyecten contenido malicioso.

Detalle técnico

La vulnerabilidad afecta Netty 4.1.83.Final hasta 4.1.85.Final donde DefaultHttpHeaders.set() con parámetro Iterator carece de sanitización adecuada de valores de encabezado (CWE-113). Un atacante puede suministrar valores de encabezado manipulados que contengan secuencias CRLF a través de llamadas API basadas en iterador para realizar HTTP Response Splitting (CWE-436), eludiendo validaciones presentes en otras rutas de código. Parcheado en 4.1.86.Final.

Resumen generado y traducido por IA a partir de la descripción oficial.

Netty project is an event-driven asynchronous network application framework. Starting in version 4.1.83.Final and prior to 4.1.86.Final, when calling `DefaultHttpHeadesr.set` with an _iterator_ of values, header value validation was not performed, allowing malicious header values in the iterator to perform HTTP Response Splitting. This issue has been patched in version 4.1.86.Final. Integrators can work around the issue by changing the `DefaultHttpHeaders.set(CharSequence, Iterator<?>)` call, into a `remove()` call, and call `add()` in a loop over the iterator of values.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N

Productos afectados

netty · netty

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/netty/netty/commit/fe18adff1c2b333acb135ab779a3b9ba3295a1c4 https://github.com/netty/netty/issues/13084 https://github.com/netty/netty/pull/12760 https://github.com/netty/netty/security/advisories/GHSA-hh82-3pmq-7frp https://lists.debian.org/debian-lts-announce/2023/01/msg00008.html https://security.netapp.com/advisory/ntap-20230113-0004/https://www.debian.org/security/2023/dsa-5316