मुफ्त स्कैन करें

यह पृष्ठ अभी तक आपकी भाषा में अनुवादित नहीं हुआ है। हम इस पर काम कर रहे हैं, तब तक अंग्रेज़ी में सामग्री दिखाई जा रही है।

💡 Keep dependencies up to date — most exploits target known, patchable vulnerabilities.

MEDIUMCVE-2026-44248CVSS 5.3

CVE-2026-44248: Property Size Overflow in Netty

प्लेटफ़ॉर्म

java

घटक

netty

में ठीक किया गया

4.2.13.Final

NVD पर देखें
सहेजें
आपकी भाषा में अनुवाद हो रहा है…

CVE-2026-44248 is a vulnerability affecting the Netty network application framework. It stems from an improper handling of MQTT 5 header properties, allowing an attacker to trigger a denial-of-service (DoS) condition by sending oversized properties. This vulnerability impacts Netty versions 4.2.0 and later up to, but not including, 4.2.13.Final. A fix is available in version 4.2.13.Final.

Java / Maven

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी pom.xml फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।

pom.xml अपलोड करेंसमर्थित प्रारूप: pom.xml · build.gradle

प्रभाव और हमले की स्थितियाँ

CVE-2026-44248 io.netty:netty-codec-mqtt में एक भेद्यता है, जो MQTT 5 हेडर प्रॉपर्टीज़ सेक्शन को पार्स और बफर करने के तरीके के कारण सेवा से इनकार (DoS) हमले को सक्षम कर सकता है। विशेष रूप से, MqttDecoder में decodeVariableHeader() विधि bytesRemainingBeforeVariableHeader > maxBytesInMessage जांच से पहले कॉल की जाती है। यह एक हमलावर को अत्यधिक बड़े प्रॉपर्टीज़ के साथ MQTT 5 संदेश भेजने की अनुमति देता है, जिससे संभावित रूप से सर्वर संसाधनों का क्षय होता है और क्रैश होता है। यह भेद्यता प्रॉपर्टीज़ के आकार के प्रारंभिक सत्यापन की कमी के कारण उत्पन्न होती है, जो हमलावर को अत्यधिक मेमोरी आवंटन को ट्रिगर करने की अनुमति देती है। इससे संसाधनों का क्षय हो सकता है और वैध उपयोगकर्ताओं को MQTT ब्रोकर तक पहुंचने से रोका जा सकता है।

शोषण संदर्भ

एक हमलावर इस भेद्यता का फायदा अत्यधिक बड़े प्रॉपर्टीज़ सेक्शन वाले MQTT 5 संदेश को भेजकर उठा सकता है। चूँकि Netty डीकोडर प्रॉपर्टीज़ को संसाधित करने से पहले उनके आकार को मान्य नहीं करता है, इसलिए सर्वर अत्यधिक मेमोरी का उपभोग कर सकता है, जिससे सेवा से इनकार हो सकता है। शोषण के लिए प्रमाणीकरण की आवश्यकता नहीं होती है और इसे नेटवर्क पर MQTT सर्वर तक पहुंच रखने के किसी भी बिंदु से किया जा सकता है। इस भेद्यता की आसानी से शोषण और संभावित प्रभाव इसे io.netty:netty-codec-mqtt का उपयोग करने वाले सिस्टम के लिए एक महत्वपूर्ण चिंता का विषय बनाते हैं।

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च
रिपोर्ट1 खतरा रिपोर्ट

CISA SSVC

शोषणnone
स्वचालनीयyes
तकनीकी प्रभावpartial

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L5.3MEDIUMAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredNoneहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityNoneसंवेदनशील डेटा उजागर होने का जोखिमIntegrityNoneअनधिकृत डेटा संशोधन का जोखिमAvailabilityLowसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
कोई नहीं — गोपनीयता पर कोई प्रभाव नहीं।
Integrity
कोई नहीं — अखंडता पर कोई प्रभाव नहीं।
Availability
निम्न — आंशिक या रुक-रुक कर सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकnetty
विक्रेताnetty
न्यूनतम संस्करण4.2.0
अधिकतम संस्करण>= 4.2.0.Alpha1, < 4.2.13.Final
में ठीक किया गया4.2.13.Final

कमजोरी वर्गीकरण (CWE)

CWE-400

समयरेखा

  1. आरक्षित
  2. प्रकाशित

शमन और वर्कअराउंड

CVE-2026-44248 के लिए प्राथमिक शमन उपाय netty-codec-mqtt लाइब्रेरी को संस्करण 4.2.13.Final या बाद के संस्करण में अपग्रेड करना है। यह संस्करण MQTT 5 प्रॉपर्टीज़ को संसाधित करने से पहले संदेश आकार सीमाओं को मान्य करके भेद्यता को ठीक करता है। यदि तत्काल अपग्रेड संभव नहीं है, तो सर्वर कॉन्फ़िगरेशन में स्वीकार्य अधिकतम MQTT संदेश आकार को सीमित करने जैसे अस्थायी सुरक्षा उपायों को लागू करने पर विचार करें। सर्वर मेमोरी उपयोग की निगरानी करना और असामान्य स्पाइक्स के लिए अलर्ट सेट करना भी संभावित DoS हमलों का पता लगाने और उनका जवाब देने में मदद कर सकता है। भविष्य की कमजोरियों को रोकने के लिए लाइब्रेरी निर्भरताओं की नियमित रूप से समीक्षा और अपडेट करना महत्वपूर्ण है।

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice la biblioteca Netty a la versión 4.2.13.Final o superior, o a la versión 4.1.133.Final o superior. Esta actualización corrige la vulnerabilidad al aplicar límites al tamaño de las propiedades decodificadas en el protocolo MQTT 5, previniendo el agotamiento de recursos.

अक्सर पूछे जाने वाले सवाल

CVE-2026-44248 क्या है — io.netty:netty-codec-mqtt में?

MQTT 5 MQTT प्रोटोकॉल का नवीनतम संस्करण है, जो सीमित संसाधनों और कम बैंडविड्थ नेटवर्क वाले उपकरणों के लिए डिज़ाइन किया गया एक हल्का मैसेजिंग प्रोटोकॉल है।

क्या मैं io.netty:netty-codec-mqtt में CVE-2026-44248 से प्रभावित हूं?

अपने MQTT सिस्टम की उपलब्धता को बाधित करने वाले संभावित सेवा से इनकार हमलों को रोकने के लिए पैच किए गए संस्करण में अपग्रेड करना महत्वपूर्ण है।

io.netty:netty-codec-mqtt में CVE-2026-44248 को कैसे ठीक करें?

सर्वर कॉन्फ़िगरेशन में स्वीकार्य अधिकतम MQTT संदेश आकार को सीमित करने जैसे अस्थायी सुरक्षा उपायों को लागू करें।

क्या CVE-2026-44248 का सक्रिय रूप से शोषण किया जा रहा है?

सर्वर मेमोरी उपयोग की निगरानी करें और असामान्य स्पाइक्स के लिए अलर्ट सेट करें।

CVE-2026-44248 के लिए io.netty:netty-codec-mqtt का आधिकारिक सुरक्षा सलाह कहां मिलेगी?

अपने सिस्टम में उपयोग की जाने वाली Netty और अन्य लाइब्रेरी के लिए सुरक्षा अपडेट के बारे में हमेशा अपडेट रहना महत्वपूर्ण है।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें
Java / Maven

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी pom.xml फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।

pom.xml अपलोड करेंसमर्थित प्रारूप: pom.xml · build.gradle
liveमुफ्त स्कैन

अपने Java / Maven प्रोजेक्ट को अभी स्कैन करें — कोई खाता नहीं

Upload your pom.xml and get the vulnerability report instantly. No account. Uploading the file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

मैनुअल स्कैनSlack/email अलर्टContinuous monitoringscanZone.capReports

अपनी डिपेंडेंसी फ़ाइल ड्रैग और ड्रॉप करें

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...