CVE-2026-33870

Netty: HTTP Request Smuggling via Chunked Extension Quoted-String Parsing

CVSS 7.5 HIGHEPSS 0.5%CWE-444

En resumen

Netty tiene una falla en cómo interpreta ciertas reglas de formato de solicitud HTTP, permitiendo que atacantes envíen solicitudes especialmente construidas que pueden eludir controles de seguridad o engañar al servidor para procesar comandos maliciosos.

Detalle técnico

Netty en versiones anteriores a 4.1.132.Final y 4.2.10.Final contiene una vulnerabilidad de HTTP request smuggling (CWE-444) en el análisis de extensiones de codificación chunked. El framework interpreta incorrectamente cadenas entrecomilladas en valores de extensión de chunk, permitiendo que un atacante inyecte solicitudes ambiguas procesadas de forma diferente por proxies intermediarios y servidores backend, lo que potencialmente resulta en elusión de filtros o envenenamiento de caché.

Resumen generado y traducido por IA a partir de la descripción oficial.

Netty is an asynchronous, event-driven network application framework. In versions prior to 4.1.132.Final and 4.2.10.Final, Netty incorrectly parses quoted strings in HTTP/1.1 chunked transfer encoding extension values, enabling request smuggling attacks. Versions 4.1.132.Final and 4.2.10.Final fix the issue.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

Productos afectados

netty · netty

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/netty/netty/security/advisories/GHSA-pwqr-wmgm-9rr8 https://w4ke.info/2025/06/18/funky-chunks.html https://w4ke.info/2025/10/29/funky-chunks-2.html https://www.rfc-editor.org/rfc/rfc9110