このページはまだあなたの言語に翻訳されていません。翻訳作業中のため、英語でコンテンツを表示しています。
💡 Keep dependencies up to date — most exploits target known, patchable vulnerabilities.
CVE-2026-44248: Property Size Overflow in Netty
プラットフォーム
java
コンポーネント
netty
修正版
4.2.13.Final
CVE-2026-44248 is a vulnerability affecting the Netty network application framework. It stems from an improper handling of MQTT 5 header properties, allowing an attacker to trigger a denial-of-service (DoS) condition by sending oversized properties. This vulnerability impacts Netty versions 4.2.0 and later up to, but not including, 4.2.13.Final. A fix is available in version 4.2.13.Final.
このCVEがあなたのプロジェクトに影響するか確認
pom.xml ファイルをアップロードすると、影響の有無を即座にお知らせします。
影響と攻撃シナリオ
CVE-2026-44248 は、io.netty:netty-codec-mqtt における脆弱性であり、MQTT 5 ヘッダーの Properties セクションの解析とバッファリング方法に起因するサービス拒否(DoS)攻撃を可能にします。具体的には、MqttDecoder の decodeVariableHeader() メソッドが、bytesRemainingBeforeVariableHeader > maxBytesInMessage チェックの前に呼び出されます。これにより、攻撃者は過剰に大きな Properties を持つ MQTT 5 メッセージを送信し、サーバーのリソースを枯渇させ、クラッシュを引き起こす可能性があります。この脆弱性は、Properties のサイズ検証が早期に行われないことに起因し、攻撃者が過剰なメモリ割り当てをトリガーすることを可能にします。これにより、リソースの枯渇が発生し、正当なユーザーが MQTT ブローカーにアクセスできなくなる可能性があります。
悪用の状況
攻撃者は、非常に大きな Properties セクションを含む MQTT 5 メッセージを送信することで、この脆弱性を悪用できます。Netty デコーダーが処理する前に Properties のサイズを検証しないため、サーバーは過剰なメモリを消費し、サービス拒否につながる可能性があります。この悪用には認証は必要なく、MQTT サーバーにアクセスできるネットワーク上の任意の場所から実行できます。この脆弱性の悪用しやすさと潜在的な影響により、io.netty:netty-codec-mqtt を使用するシステムにとって大きな懸念事項となっています。
脅威インテリジェンス
エクスプロイト状況
CISA SSVC
CVSS ベクトル
これらのメトリクスの意味は?
- Attack Vector
- ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
- Attack Complexity
- 低 — 特別な条件不要。安定して悪用可能。
- Privileges Required
- なし — 認証不要。資格情報なしで悪用可能。
- User Interaction
- なし — 自動かつ無音の攻撃。被害者は何もしない。
- Scope
- 変化なし — 影響は脆弱なコンポーネントのみ。
- Confidentiality
- なし — 機密性への影響なし。
- Integrity
- なし — 完全性への影響なし。
- Availability
- 低 — 部分的または断続的なサービス拒否。
影響を受けるソフトウェア
弱点分類 (CWE)
タイムライン
- 予約済み
- 公開日
緩和策と回避策
CVE-2026-44248 に対する主な軽減策は、netty-codec-mqtt ライブラリをバージョン 4.2.13.Final 以降にアップグレードすることです。このバージョンは、MQTT 5 Properties の処理前にメッセージ サイズ制限を検証することで、脆弱性を修正します。即時アップグレードが不可能な場合は、サーバー構成で許容される最大 MQTT メッセージ サイズを制限するなど、一時的な保護策を実装することを検討してください。サーバーのメモリ使用量を監視し、異常な急増に対してアラートを設定することも、潜在的な DoS 攻撃を検出し、対応するのに役立ちます。将来の脆弱性を回避するために、ライブラリの依存関係を定期的にレビューおよび更新することが重要です。
修正方法翻訳中…
Actualice la biblioteca Netty a la versión 4.2.13.Final o superior, o a la versión 4.1.133.Final o superior. Esta actualización corrige la vulnerabilidad al aplicar límites al tamaño de las propiedades decodificadas en el protocolo MQTT 5, previniendo el agotamiento de recursos.
よくある質問
CVE-2026-44248 とは何ですか?(io.netty:netty-codec-mqtt)
MQTT 5 は、限られたリソースと低帯域幅ネットワークを備えたデバイス向けに設計された、軽量のメッセージングプロトコルである MQTT プロトコルの最新バージョンです。
io.netty:netty-codec-mqtt の CVE-2026-44248 による影響を受けていますか?
パッチが適用されたバージョンにアップグレードすることは、MQTT システムの可用性を妨げる可能性のあるサービス拒否攻撃を防ぐために不可欠です。
io.netty:netty-codec-mqtt の CVE-2026-44248 を修正するにはどうすればよいですか?
サーバー構成で許容される最大 MQTT メッセージ サイズを制限するなど、一時的な保護策を実装してください。
CVE-2026-44248 は積極的に悪用されていますか?
サーバーのメモリ使用量を監視し、異常な急増に対してアラートを設定してください。
CVE-2026-44248 に関する io.netty:netty-codec-mqtt の公式アドバイザリはどこで確認できますか?
システムで使用する Netty およびその他のライブラリのセキュリティアップデートを常に把握しておくことが重要です。
このCVEがあなたのプロジェクトに影響するか確認
pom.xml ファイルをアップロードすると、影響の有無を即座にお知らせします。
Java / Mavenプロジェクトを今すぐスキャン — アカウント不要
Upload your pom.xml and get the vulnerability report instantly. No account. Uploading the file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.
依存関係ファイルをドラッグ&ドロップ
composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...