CVE-2025-58057
Netty's BrotliDecoder is vulnerable to DoS via zip bomb style attack
En resumen
El decompressor Brotli de Netty puede ser bloqueado por un archivo comprimido especialmente diseñado que lo obliga a crear muchos buffers de memoria, similar a un ataque de zip bomb. Esto hace que la aplicación se quede sin memoria y deje de funcionar.
Detalle técnico
BrotliDecoder.decompress carece de límite en iteraciones de descompresión, asignando buffers de 64KB repetidamente sin límite en la lista de salida hasta agotar la memoria. Afecta a netty-codec-compression ≤4.1.124.Final y netty-codec ≤4.2.4.Final. Un atacante remoto puede enviar entrada Brotli maliciosa para provocar denegación de servicio.
Resumen generado y traducido por IA a partir de la descripción oficial.
Netty is an asynchronous event-driven network application framework for rapid development of maintainable high performance protocol servers & clients. In netty-codec-compression versions 4.1.124.Final and below, and netty-codec versions 4.2.4.Final and below, when supplied with specially crafted input, BrotliDecoder and certain other decompression decoders will allocate a large number of reachable byte buffers, which can lead to denial of service. BrotliDecoder.decompress has no limit in how often it calls pull, decompressing data 64K bytes at a time. The buffers are saved in the output list, and remain reachable until OOM is hit. This is fixed in versions 4.1.125.Final of netty-codec and 4.2.5.Final of netty-codec-compression.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N
Productos afectados
netty · netty¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →