Cette page n'a pas encore été traduite dans votre langue. Affichage du contenu en anglais pendant que nous y travaillons.
💡 Keep dependencies up to date — most exploits target known, patchable vulnerabilities.
CVE-2026-44248: Property Size Overflow in Netty
Plateforme
java
Composant
netty
Corrigé dans
4.2.13.Final
CVE-2026-44248 is a vulnerability affecting the Netty network application framework. It stems from an improper handling of MQTT 5 header properties, allowing an attacker to trigger a denial-of-service (DoS) condition by sending oversized properties. This vulnerability impacts Netty versions 4.2.0 and later up to, but not including, 4.2.13.Final. A fix is available in version 4.2.13.Final.
Détecte cette CVE dans ton projet
Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.
Impact et Scénarios d'Attaque
La vulnérabilité CVE-2026-44248 dans io.netty:netty-codec-mqtt permet une attaque par déni de service (DoS) en raison de la manière dont les sections de propriétés de l'en-tête MQTT 5 sont analysées et mises en mémoire tampon. Plus précisément, la méthode decodeVariableHeader() dans MqttDecoder est appelée avant la vérification bytesRemainingBeforeVariableHeader > maxBytesInMessage. Cela permet à un attaquant d'envoyer des messages MQTT 5 avec des propriétés excessivement volumineuses, épuisant potentiellement les ressources du serveur et entraînant un crash. La vulnérabilité découle d'un manque de validation anticipée de la taille des propriétés, permettant à un attaquant de déclencher une allocation mémoire excessive. Cela peut entraîner un épuisement des ressources et empêcher les utilisateurs légitimes d'accéder au broker MQTT.
Contexte d'Exploitation
Un attaquant peut exploiter cette vulnérabilité en envoyant un message MQTT 5 contenant une section de propriétés extrêmement volumineuse. Étant donné que le décodeur Netty ne valide pas la taille des propriétés avant de les traiter, le serveur peut consommer une quantité excessive de mémoire, ce qui entraîne une déni de service. L'exploitation ne nécessite pas d'authentification et peut être effectuée à partir de n'importe quel point du réseau ayant accès au serveur MQTT. La facilité d'exploitation et l'impact potentiel font de cette vulnérabilité une préoccupation majeure pour les systèmes utilisant io.netty:netty-codec-mqtt.
Renseignement sur les Menaces
Statut de l'Exploit
CISA SSVC
Vecteur CVSS
Que signifient ces métriques?
- Attack Vector
- Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
- Attack Complexity
- Faible — aucune condition spéciale requise. Exploitable de manière fiable.
- Privileges Required
- Aucun — sans authentification. Aucune identifiant requis pour exploiter.
- User Interaction
- Aucune — attaque automatique et silencieuse. La victime ne fait rien.
- Scope
- Inchangé — impact limité au composant vulnérable.
- Confidentiality
- Aucun — aucun impact sur la confidentialité.
- Integrity
- Aucun — aucun impact sur l'intégrité.
- Availability
- Faible — déni de service partiel ou intermittent.
Logiciel Affecté
Classification de Faiblesse (CWE)
Chronologie
- Réservé
- Publiée
Mitigation et Contournements
L'atténuation principale pour CVE-2026-44248 consiste à mettre à niveau vers la version 4.2.13.Final ou ultérieure de la bibliothèque netty-codec-mqtt. Cette version corrige la vulnérabilité en validant les limites de la taille du message avant de traiter les propriétés MQTT 5. Si une mise à niveau immédiate n'est pas possible, envisagez de mettre en œuvre des protections temporaires telles que la limitation de la taille maximale du message MQTT acceptée dans la configuration du serveur. Surveiller l'utilisation de la mémoire du serveur et définir des alertes pour des pics inhabituels peut également aider à détecter et à répondre aux attaques DoS potentielles. Il est essentiel de revoir et de mettre à jour régulièrement les dépendances de la bibliothèque pour éviter de futures vulnérabilités.
Comment corrigertraduction en cours…
Actualice la biblioteca Netty a la versión 4.2.13.Final o superior, o a la versión 4.1.133.Final o superior. Esta actualización corrige la vulnerabilidad al aplicar límites al tamaño de las propiedades decodificadas en el protocolo MQTT 5, previniendo el agotamiento de recursos.
Questions fréquentes
Qu'est-ce que CVE-2026-44248 dans io.netty:netty-codec-mqtt ?
MQTT 5 est la dernière version du protocole MQTT, un protocole de messagerie léger conçu pour les appareils dotés de ressources limitées et de réseaux à faible bande passante.
Suis-je affecté(e) par CVE-2026-44248 dans io.netty:netty-codec-mqtt ?
La mise à niveau vers la version corrigée est essentielle pour empêcher les attaques par déni de service qui pourraient perturber la disponibilité de votre système MQTT.
Comment corriger CVE-2026-44248 dans io.netty:netty-codec-mqtt ?
Mettez en œuvre des protections temporaires telles que la limitation de la taille maximale du message MQTT acceptée dans la configuration du serveur.
CVE-2026-44248 est-il activement exploité ?
Surveillez l'utilisation de la mémoire du serveur et définissez des alertes pour des pics inhabituels.
Où trouver l'avis officiel de io.netty:netty-codec-mqtt pour CVE-2026-44248 ?
Il est important de se tenir au courant des mises à jour de sécurité de Netty et des autres bibliothèques que vous utilisez dans votre système.
Ton projet est-il affecté ?
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Détecte cette CVE dans ton projet
Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.
Scannez votre projet Java / Maven maintenant — sans compte
Téléchargez votre pom.xml et obtenez le rapport de vulnérabilité instantanément. Pas de compte. Le téléchargement du fichier n'est qu'un début : avec un compte, vous bénéficiez d'une surveillance continue, d'alertes Slack/e-mail, de rapports multi-projets et en marque blanche.
Glissez-déposez votre fichier de dépendances
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...