| Title | Nettyにおけるリソースの枯渇に関する脆弱性 |
|---|---|
| Summary | Nettyは非同期かつイベント駆動型のネットワークアプリケーションフレームワークです。4.2.13.Finalおよび4.1.133.Finalより前のバージョンでは、MQTT 5ヘッダーのPropertiesセクションがメッセージサイズ制限が適用される前に解析およびバッファリングされていました。具体的には、MqttDecoderのdecodeVariableHeader()メソッドがbytesRemainingBeforeVariableHeader maxBytesInMessageのチェックより前に呼び出されていました。decodeVariableHeader()はdecodeProperties()を呼び出す他のメソッドを呼び出すことがあります。実質的にNettyはデコードされるPropertiesのサイズに制限を適用していませんでした。さらに、MqttDecoderがReplayingDecoderを継承しているため、Nettyは巨大なPropertiesセクションを繰り返し再解析し、完全に解析が完了するまでバイトをメモリにバッファリングし続けていました。これによりCPUおよびメモリのリソース使用率が高くなる可能性がありました。この脆弱性は4.2.13.Finalおよび4.1.133.Finalで修正されています。 |
| Possible impacts | 当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う情報について、書き換えは発生しません。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | May 13, 2026, midnight |
| Registration Date | May 20, 2026, 1:28 p.m. |
| Last Update | May 20, 2026, 1:28 p.m. |
| CVSS3.0 : 重要 | |
| Score | 7.5 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
| Netty |
| Netty 4.1.133 未満 |
| Netty 4.2.0 以上 4.2.13 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年05月20日] 掲載 |
May 20, 2026, 1:28 p.m. |
| Summary | Netty is an asynchronous, event-driven network application framework. Prior to 4.2.13.Final and 4.1.133.Final, the MQTT 5 header Properties section is parsed and buffered before any message size limit is applied. Specifically, in MqttDecoder, the decodeVariableHeader() method is called before the bytesRemainingBeforeVariableHeader > maxBytesInMessage check. The decodeVariableHeader() can call other methods which will call decodeProperties(). Effectively, Netty does not apply any limits to the size of the properties being decoded. Additionally, because MqttDecoder extends ReplayingDecoder, Netty will repeatedly re-parse the enormous Properties sections and buffer the bytes in memory, until the entire thing parses to completion. This can cause high resource usage in both CPU and memory. This vulnerability is fixed in 4.2.13.Final and 4.1.133.Final. |
|---|---|
| Publication Date | May 14, 2026, 4:17 a.m. |
| Registration Date | May 15, 2026, 4:22 a.m. |
| Last Update | May 18, 2026, 9:15 p.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:netty:netty:*:*:*:*:*:*:*:* | 4.1.133 | ||||
| cpe:2.3:a:netty:netty:*:*:*:*:*:*:*:* | 4.2.0 | 4.2.13 | |||