Kostenlos scannen

Diese Seite wurde noch nicht in Ihre Sprache übersetzt. Inhalte werden auf Englisch angezeigt, während wir daran arbeiten.

💡 Keep dependencies up to date — most exploits target known, patchable vulnerabilities.

MEDIUMCVE-2026-44248CVSS 5.3

CVE-2026-44248: Property Size Overflow in Netty

Plattform

java

Komponente

netty

Behoben in

4.2.13.Final

Auf NVD ansehen
Speichern
Wird in Ihre Sprache übersetzt…

CVE-2026-44248 is a vulnerability affecting the Netty network application framework. It stems from an improper handling of MQTT 5 header properties, allowing an attacker to trigger a denial-of-service (DoS) condition by sending oversized properties. This vulnerability impacts Netty versions 4.2.0 and later up to, but not including, 4.2.13.Final. A fix is available in version 4.2.13.Final.

Java / Maven

Erkenne diese CVE in deinem Projekt

Lade deine pom.xml-Datei hoch und wir sagen dir sofort, ob du betroffen bist.

pom.xml hochladenUnterstützte Formate: pom.xml · build.gradle

Auswirkungen und Angriffsszenarien

CVE-2026-44248 in io.netty:netty-codec-mqtt ermöglicht einen Denial-of-Service (DoS)-Angriff aufgrund der Art und Weise, wie die Eigenschaftenabschnitte des MQTT 5-Headers analysiert und gepuffert werden. Konkret wird die Methode decodeVariableHeader() in MqttDecoder aufgerufen, bevor die Prüfung bytesRemainingBeforeVariableHeader > maxBytesInMessage erfolgt. Dies ermöglicht es einem Angreifer, MQTT 5-Nachrichten mit übermäßig großen Eigenschaften zu senden, wodurch möglicherweise die Serverressourcen erschöpft und ein Absturz verursacht wird. Die Schwachstelle ergibt sich aus dem Fehlen einer frühzeitigen Größenvalidierung der Eigenschaften, wodurch ein Angreifer eine übermäßige Speicherbelegung auslösen kann. Dies kann zu einer Erschöpfung der Ressourcen und verhindern, dass legitime Benutzer auf den MQTT-Broker zugreifen können.

Ausnutzungskontext

Ein Angreifer kann diese Schwachstelle ausnutzen, indem er eine MQTT 5-Nachricht sendet, die einen extrem großen Eigenschaftenabschnitt enthält. Da der Netty-Decoder die Größe der Eigenschaften nicht validiert, bevor er sie verarbeitet, kann der Server eine übermäßige Menge an Speicher verbrauchen, was zu einem Denial-of-Service führt. Die Ausnutzung erfordert keine Authentifizierung und kann von jedem Punkt im Netzwerk aus durchgeführt werden, der Zugriff auf den MQTT-Server hat. Die einfache Ausnutzbarkeit und das potenzielle Risiko machen diese Schwachstelle zu einem erheblichen Problem für Systeme, die io.netty:netty-codec-mqtt verwenden.

Bedrohungsanalyse

Exploit-Status

Proof of ConceptUnbekannt
CISA KEVNO
Internet-ExponierungHoch
Berichte1 Bedrohungsbericht

CISA SSVC

Ausnutzungnone
Automatisierbaryes
Technische Auswirkungpartial

CVSS-Vektor

BEDROHUNGSANALYSE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L5.3MEDIUMAttack VectorNetworkWie der Angreifer das Ziel erreichtAttack ComplexityLowBedingungen zur erfolgreichen AusnutzungPrivileges RequiredNoneErforderliche AuthentifizierungsstufeUser InteractionNoneOb ein Opfer eine Aktion ausführen mussScopeUnchangedAuswirkungen über die Komponente hinausConfidentialityNoneRisiko der Offenlegung sensibler DatenIntegrityNoneRisiko nicht autorisierter DatenänderungAvailabilityLowRisiko der Dienstunterbrechungnextguardhq.com · CVSS v3.1 Basis-Score
Was bedeuten diese Metriken?
Attack Vector
Netzwerk — aus der Ferne über das Internet ausnutzbar. Kein physischer oder lokaler Zugriff erforderlich.
Attack Complexity
Niedrig — keine besonderen Bedingungen erforderlich. Zuverlässig ausnutzbar.
Privileges Required
Keine — ohne Authentifizierung ausnutzbar. Keine Zugangsdaten erforderlich.
User Interaction
Keine — automatischer und lautloser Angriff. Das Opfer tut nichts.
Scope
Unverändert — Auswirkung auf das anfällige Komponente beschränkt.
Confidentiality
Keine — kein Vertraulichkeitseinfluss.
Integrity
Keine — kein Integritätseinfluss.
Availability
Niedrig — partieller oder intermittierender Denial of Service.

Betroffene Software

Komponentenetty
Herstellernetty
Mindestversion4.2.0
Höchstversion>= 4.2.0.Alpha1, < 4.2.13.Final
Behoben in4.2.13.Final

Schwachstellen-Klassifikation (CWE)

CWE-400

Zeitleiste

  1. Reserviert
  2. Veröffentlicht

Mitigation und Workarounds

Die primäre Abmilderung für CVE-2026-44248 besteht darin, auf Version 4.2.13.Final oder höher der Bibliothek netty-codec-mqtt zu aktualisieren. Diese Version behebt die Schwachstelle, indem sie die Größenbeschränkungen der Nachricht validiert, bevor MQTT 5-Eigenschaften verarbeitet werden. Wenn ein sofortiges Upgrade nicht möglich ist, sollten Sie vorübergehende Schutzmaßnahmen in Betracht ziehen, z. B. die Begrenzung der maximal zulässigen MQTT-Nachrichtengröße in der Serverkonfiguration. Die Überwachung der Server-Speicherauslastung und das Festlegen von Warnungen bei ungewöhnlichen Spitzen können ebenfalls dazu beitragen, potenzielle DoS-Angriffe zu erkennen und darauf zu reagieren. Es ist entscheidend, die Bibliotheksabhängigkeiten regelmäßig zu überprüfen und zu aktualisieren, um zukünftige Schwachstellen zu vermeiden.

So behebenwird übersetzt…

Actualice la biblioteca Netty a la versión 4.2.13.Final o superior, o a la versión 4.1.133.Final o superior. Esta actualización corrige la vulnerabilidad al aplicar límites al tamaño de las propiedades decodificadas en el protocolo MQTT 5, previniendo el agotamiento de recursos.

Häufig gestellte Fragen

Was ist CVE-2026-44248 in io.netty:netty-codec-mqtt?

MQTT 5 ist die neueste Version des MQTT-Protokolls, eines leichtgewichtigen Messaging-Protokolls, das für Geräte mit begrenzten Ressourcen und Netzwerken mit geringer Bandbreite entwickelt wurde.

Bin ich von CVE-2026-44248 in io.netty:netty-codec-mqtt betroffen?

Ein Upgrade auf die gepatchte Version ist entscheidend, um Denial-of-Service-Angriffe zu verhindern, die die Verfügbarkeit Ihres MQTT-Systems beeinträchtigen könnten.

Wie behebe ich CVE-2026-44248 in io.netty:netty-codec-mqtt?

Implementieren Sie vorübergehende Schutzmaßnahmen, z. B. die Begrenzung der maximal zulässigen MQTT-Nachrichtengröße in der Serverkonfiguration.

Wird CVE-2026-44248 aktiv ausgenutzt?

Überwachen Sie die Server-Speicherauslastung und legen Sie Warnungen bei ungewöhnlichen Spitzen fest.

Wo finde ich den offiziellen io.netty:netty-codec-mqtt-Hinweis für CVE-2026-44248?

Es ist wichtig, sich über Sicherheitsupdates für Netty und andere Bibliotheken, die Sie in Ihrem System verwenden, auf dem Laufenden zu halten.

Ist dein Projekt betroffen?

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannenCVEs suchen
Java / Maven

Erkenne diese CVE in deinem Projekt

Lade deine pom.xml-Datei hoch und wir sagen dir sofort, ob du betroffen bist.

pom.xml hochladenUnterstützte Formate: pom.xml · build.gradle
liveKostenloser Scan

Scannen Sie jetzt Ihr Java / Maven-Projekt – kein Konto

Laden Sie Ihr pom.xml hoch und erhalten Sie den Schwachstellenbericht sofort. Kein Konto. Das Hochladen der Datei ist nur der Anfang: mit einem Konto erhalten Sie kontinuierliche Überwachung, Slack-/E-Mail-Benachrichtigungen, Multi-Projekt- und White-Label-Berichte.

Manueller ScanSlack/E-Mail-AlertsKontinuierliche ÜberwachungWhite-Label-Berichte

Abhängigkeitsdatei hier ablegen

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...