Deze pagina is nog niet vertaald naar uw taal. We werken eraan — de inhoud wordt voorlopig in het Engels weergegeven.
💡 Keep dependencies up to date — most exploits target known, patchable vulnerabilities.
CVE-2026-44248: Property Size Overflow in Netty
Platform
java
Component
netty
Opgelost in
4.2.13.Final
CVE-2026-44248 is a vulnerability affecting the Netty network application framework. It stems from an improper handling of MQTT 5 header properties, allowing an attacker to trigger a denial-of-service (DoS) condition by sending oversized properties. This vulnerability impacts Netty versions 4.2.0 and later up to, but not including, 4.2.13.Final. A fix is available in version 4.2.13.Final.
Detecteer deze CVE in je project
Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.
Impact en Aanvalsscenarios
CVE-2026-44248 in io.netty:netty-codec-mqtt maakt een denial-of-service (DoS) aanval mogelijk vanwege de manier waarop MQTT 5 header Properties secties worden geparseerd en gebufferd. Specifiek wordt de decodeVariableHeader() methode in MqttDecoder aangeroepen voordat de controle bytesRemainingBeforeVariableHeader > maxBytesInMessage plaatsvindt. Dit stelt een aanvaller in staat om MQTT 5 berichten te verzenden met overmatig grote properties, waardoor mogelijk server resources uitgeput raken en een crash ontstaat. De kwetsbaarheid komt voort uit het ontbreken van een vroegtijdige validatie van de grootte van de properties, waardoor een aanvaller een overmatige geheugenallocatie kan triggeren. Dit kan leiden tot resource-uitputting en voorkomen dat legitieme gebruikers toegang krijgen tot de MQTT broker.
Uitbuitingscontext
Een aanvaller kan deze kwetsbaarheid exploiteren door een MQTT 5 bericht te verzenden dat een extreem grote Properties sectie bevat. Aangezien de Netty decoder de grootte van de properties niet valideert voordat deze worden verwerkt, kan de server een overmatige hoeveelheid geheugen verbruiken, wat leidt tot een denial-of-service. Exploitatie vereist geen authenticatie en kan worden uitgevoerd vanaf elk punt in het netwerk met toegang tot de MQTT server. De eenvoud van exploitatie en de potentiële impact maken deze kwetsbaarheid tot een aanzienlijk probleem voor systemen die io.netty:netty-codec-mqtt gebruiken.
Dreigingsinformatie
Exploit Status
CISA SSVC
CVSS-vector
Wat betekenen deze metrics?
- Attack Vector
- Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
- Attack Complexity
- Laag — geen speciale voorwaarden vereist. Betrouwbaar uitbuitbaar.
- Privileges Required
- Geen — geen authenticatie vereist om te exploiteren.
- User Interaction
- Geen — automatische en stille aanval. Slachtoffer doet niets.
- Scope
- Ongewijzigd — impact beperkt tot het kwetsbare component.
- Confidentiality
- Geen — geen vertrouwelijkheidsimpact.
- Integrity
- Geen — geen integriteitsimpact.
- Availability
- Laag — gedeeltelijke of intermitterende denial of service.
Getroffen Software
Zwakheidsclassificatie (CWE)
Tijdlijn
- Gereserveerd
- Gepubliceerd
Mitigatie en Workarounds
De primaire mitigatie voor CVE-2026-44248 is het upgraden naar versie 4.2.13.Final of hoger van de netty-codec-mqtt bibliotheek. Deze versie corrigeert de kwetsbaarheid door de message size limieten te valideren voordat MQTT 5 properties worden verwerkt. Indien een onmiddellijke upgrade niet haalbaar is, overweeg dan het implementeren van tijdelijke beschermingsmaatregelen, zoals het beperken van de maximale MQTT message size die in de serverconfiguratie wordt geaccepteerd. Het monitoren van het server geheugengebruik en het instellen van alerts voor ongebruikelijke pieken kan ook helpen bij het detecteren en reageren op potentiële DoS aanvallen. Het regelmatig beoordelen en updaten van bibliotheek dependencies is cruciaal om toekomstige kwetsbaarheden te voorkomen.
Hoe te verhelpenwordt vertaald…
Actualice la biblioteca Netty a la versión 4.2.13.Final o superior, o a la versión 4.1.133.Final o superior. Esta actualización corrige la vulnerabilidad al aplicar límites al tamaño de las propiedades decodificadas en el protocolo MQTT 5, previniendo el agotamiento de recursos.
Veelgestelde vragen
Wat is CVE-2026-44248 in io.netty:netty-codec-mqtt?
MQTT 5 is de nieuwste versie van het MQTT protocol, een lichtgewicht messaging protocol ontworpen voor apparaten met beperkte resources en low-bandwidth netwerken.
Ben ik getroffen door CVE-2026-44248 in io.netty:netty-codec-mqtt?
Upgraden naar de gepatchte versie is cruciaal om denial-of-service aanvallen te voorkomen die de beschikbaarheid van uw MQTT systeem kunnen verstoren.
Hoe los ik CVE-2026-44248 in io.netty:netty-codec-mqtt op?
Implementeer tijdelijke beschermingsmaatregelen, zoals het beperken van de maximale MQTT message size die in de serverconfiguratie wordt geaccepteerd.
Wordt CVE-2026-44248 actief misbruikt?
Monitoren van het server geheugengebruik en het instellen van alerts voor ongebruikelijke pieken.
Waar vind ik het officiële io.netty:netty-codec-mqtt-beveiligingsadvies voor CVE-2026-44248?
Het is belangrijk om op de hoogte te blijven van security updates voor Netty en andere bibliotheken die u in uw systeem gebruikt.
Is jouw project getroffen?
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Detecteer deze CVE in je project
Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.
Scan nu uw Java / Maven project — geen account
Upload your pom.xml and get the vulnerability report instantly. No account. Uploading the file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.
Sleep uw afhankelijkheidsbestand hierheen
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...