Esta página ainda não foi traduzida para o seu idioma. Exibindo conteúdo em inglês enquanto trabalhamos nisso.
💡 Keep dependencies up to date — most exploits target known, patchable vulnerabilities.
CVE-2026-44248: Property Size Overflow in Netty
Plataforma
java
Componente
netty
Corrigido em
4.2.13.Final
CVE-2026-44248 is a vulnerability affecting the Netty network application framework. It stems from an improper handling of MQTT 5 header properties, allowing an attacker to trigger a denial-of-service (DoS) condition by sending oversized properties. This vulnerability impacts Netty versions 4.2.0 and later up to, but not including, 4.2.13.Final. A fix is available in version 4.2.13.Final.
Detecte esta CVE no seu projeto
Envie seu arquivo pom.xml e descubra na hora se você está afetado.
Impacto e Cenários de Ataque
A vulnerabilidade CVE-2026-44248 em io.netty:netty-codec-mqtt permite um ataque de negação de serviço (DoS) devido à forma como a seção de propriedades do cabeçalho MQTT 5 é analisada e armazenada em buffer. Especificamente, o método decodeVariableHeader() em MqttDecoder é chamado antes da verificação bytesRemainingBeforeVariableHeader > maxBytesInMessage. Isso permite que um invasor envie mensagens MQTT 5 com propriedades excessivamente grandes, esgotando potencialmente os recursos do servidor e levando a uma falha. A vulnerabilidade decorre da falta de validação antecipada do tamanho das propriedades, permitindo que um invasor acione uma alocação excessiva de memória. Isso pode levar ao esgotamento de recursos e impedir que usuários legítimos acessem o broker MQTT.
Contexto de Exploração
Um invasor pode explorar esta vulnerabilidade enviando uma mensagem MQTT 5 contendo uma seção de propriedades extremamente grande. Como o decodificador Netty não valida o tamanho das propriedades antes de processá-las, o servidor pode consumir memória excessiva, levando a uma negação de serviço. A exploração não requer autenticação e pode ser realizada de qualquer ponto da rede com acesso ao servidor MQTT. A facilidade de exploração e o impacto potencial tornam esta vulnerabilidade uma preocupação significativa para sistemas que utilizam io.netty:netty-codec-mqtt.
Inteligência de Ameaças
Status do Exploit
CISA SSVC
Vetor CVSS
O que significam essas métricas?
- Attack Vector
- Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
- Attack Complexity
- Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
- Privileges Required
- Nenhum — sem autenticação necessária para explorar.
- User Interaction
- Nenhuma — ataque automático e silencioso. A vítima não faz nada.
- Scope
- Inalterado — impacto limitado ao componente vulnerável.
- Confidentiality
- Nenhum — sem impacto na confidencialidade.
- Integrity
- Nenhum — sem impacto na integridade.
- Availability
- Baixo — negação de serviço parcial ou intermitente.
Software Afetado
Classificação de Fraqueza (CWE)
Linha do tempo
- Reservado
- Publicada
Mitigação e Soluções Alternativas
A principal mitigação para CVE-2026-44248 é atualizar para a versão 4.2.13.Final ou posterior da biblioteca netty-codec-mqtt. Esta versão corrige a vulnerabilidade validando os limites do tamanho da mensagem antes de processar as propriedades MQTT 5. Se a atualização imediata não for viável, considere implementar proteções temporárias, como limitar o tamanho máximo da mensagem MQTT aceita na configuração do servidor. Monitorar o uso de memória do servidor e definir alertas para picos incomuns também pode ajudar a detectar e responder a possíveis ataques DoS. Revisar e atualizar regularmente as dependências da biblioteca é crucial para evitar futuras vulnerabilidades.
Como corrigirtraduzindo…
Actualice la biblioteca Netty a la versión 4.2.13.Final o superior, o a la versión 4.1.133.Final o superior. Esta actualización corrige la vulnerabilidad al aplicar límites al tamaño de las propiedades decodificadas en el protocolo MQTT 5, previniendo el agotamiento de recursos.
Perguntas frequentes
O que é CVE-2026-44248 em io.netty:netty-codec-mqtt?
MQTT 5 é a versão mais recente do protocolo MQTT, um protocolo de mensagens leve projetado para dispositivos com recursos limitados e redes de baixa largura de banda.
Estou afetado pelo CVE-2026-44248 no io.netty:netty-codec-mqtt?
Atualizar para a versão corrigida é crucial para evitar ataques de negação de serviço que podem interromper a disponibilidade do seu sistema MQTT.
Como corrijo o CVE-2026-44248 no io.netty:netty-codec-mqtt?
Implemente proteções temporárias, como limitar o tamanho máximo da mensagem MQTT aceita na configuração do servidor.
O CVE-2026-44248 está sendo explorado ativamente?
Monitore o uso de memória do servidor e defina alertas para picos incomuns.
Onde encontro o aviso oficial do io.netty:netty-codec-mqtt para o CVE-2026-44248?
É importante manter-se atualizado com as atualizações de segurança do Netty e outras bibliotecas que você usa em seu sistema.
Seu projeto está afetado?
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Detecte esta CVE no seu projeto
Envie seu arquivo pom.xml e descubra na hora se você está afetado.
Escaneie seu projeto Java / Maven agora — sem conta
Envie seu pom.xml e receba o relatório de vulnerabilidades instantaneamente. Sem conta. Enviar o arquivo é só o começo: com uma conta você obtém monitoramento contínuo, alertas por Slack/e-mail, relatórios multi-projeto e white-label.
Arraste e solte seu arquivo de dependências
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...