CVE-2026-42579
Netty: DNS Codec Input Validation Bypass in Netty (Encoder + Decoder)
En resumen
Netty no valida correctamente los nombres de dominio en su procesador de DNS, permitiendo que atacantes envíen respuestas DNS malformadas o inyecten nombres de host maliciosos que eludan las verificaciones de seguridad.
Detalle técnico
El codec DNS en versiones de Netty anteriores a 4.2.13.Final y 4.1.133.Final no cumple las restricciones de nombres de dominio definidas en RFC 1035 durante codificación y decodificación. Los atacantes pueden explotar respuestas DNS maliciosas (vector en decodificador) o nombres de host controlados por el usuario (vector en codificador) para eludir validación de entrada, causando potencial denegación de servicio o comportamiento inesperado.
Resumen generado y traducido por IA a partir de la descripción oficial.
Netty is an asynchronous, event-driven network application framework. Prior to 4.2.13.Final and 4.1.133.Final, Netty's DNS codec does not enforce RFC 1035 domain name constraints during either encoding or decoding. This creates a bidirectional attack surface: malicious DNS responses can exploit the decoder, and user-influenced hostnames can exploit the encoder. This vulnerability is fixed in 4.2.13.Final and 4.1.133.Final.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
Productos afectados
netty · netty¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →