製品・ソフトウェアに関する情報

JVN脆弱性詳細

Nettyにおける有効期限後のメモリの解放の欠如に関する脆弱性

Title	Nettyにおける有効期限後のメモリの解放の欠如に関する脆弱性
Summary	Nettyはプロトコルサーバおよびクライアントの開発のためのネットワークアプリケーションフレームワークです。バージョン4.1.135.Finalおよび4.2.15.Final以前では、NettyのHAProxy PROXYプロトコルv2コーデックが、クライアントが深さ2以上のネストされた`PP2_TYPE_SSL` TLV（タイプ・長さ・値レコード）を含む構文的に有効なヘッダーを送信した場合、接続ごとにネイティブメモリまたはヒープメモリをリークします。このリークは正常な解析経路で発生し、例外はスローされず、メッセージは下流に送られ、デコーダーは自動的に削除され、アプリケーションは`HAProxyMessage`を通常どおり解放します。しかし、基盤となる累積バッファ（チャネルによって割り当てられるプールされた可能性のある直接`ByteBuf`）が永久に固定されたままになります。この問題はバージョン4.1.135.Finalおよび4.2.15.Finalで修正されています。
Possible impacts	・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。・当該ソフトウェアが扱う情報について、書き換えは発生しません。・当該ソフトウェアが完全に停止する可能性があります。
Solution	ベンダ情報を参照して適切な対策を実施してください。
Publication Date	June 12, 2026, midnight
Registration Date	June 15, 2026, 6:36 p.m.
Last Update	June 15, 2026, 6:36 p.m.

CVSS3.0 : 重要
Score	7.5
Vector	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Affected System

Netty

Netty 4.1.135 未満

Netty 4.2.0 以上 4.2.15 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-48059	https://www.cve.org/CVERecord?id=CVE-2026-48059
National Vulnerability Database (NVD)
2	CVE-2026-48059	https://nvd.nist.gov/vuln/detail/CVE-2026-48059

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-401	https://cwe.mitre.org/data/definitions/401.html

ベンダー情報

No	Name	URL
GitHub
1	[HAProxy] Unbalanced Reference Count in Nested PP2_TYPE_SSL TLV Parsing Leads to Memory Exhaustion Advisory netty/netty GitHub	https://github.com/netty/netty/security/advisories/GHSA-h2qv-fj59-j46j

その他

No	Name	URL
関連文書
1	Release netty-4.1.135.Final netty/netty GitHub	https://github.com/netty/netty/releases/tag/netty-4.1.135.Final
2	Release netty-4.2.15.Final netty/netty GitHub	https://github.com/netty/netty/releases/tag/netty-4.2.15.Final

Change Log

No	Changed Details	Date of change
1	[2026年06月15日] 掲載	June 15, 2026, 6:36 p.m.

NVD Vulnerability Information

CVE-2026-48059

Summary	Netty is a network application framework for development of protocol servers and clients. Prior to versions 4.1.135.Final and 4.2.15.Final, the HAProxy PROXY protocol v2 codec in netty leaks native or heap memory on every connection when a client sends a syntactically valid header containing nested `PP2_TYPE_SSL` TLVs (type-length-value records) at depth two or greater. The leak occurs on the successful parse path — no exception is thrown, the message fires downstream, the decoder removes itself, and the application releases the `HAProxyMessage` normally. Yet the underlying cumulation buffer (a pooled, potentially direct `ByteBuf` allocated by the channel) remains permanently pinned. Versions 4.1.135.Final and 4.2.15.Final patch the issue.
Publication Date	June 13, 2026, 1:16 a.m.
Registration Date	June 13, 2026, 4:17 a.m.
Last Update	June 15, 2026, 10:56 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:netty:netty::::::::				4.1.135
cpe:2.3:a:netty:netty::::::::	4.2.0			4.2.15

Related information, measures and tools

No	URL	refsource
1	https://github.com/netty/netty/releases/tag/netty-4.1.135.Final	security-advisories@github.com
2	https://github.com/netty/netty/releases/tag/netty-4.2.15.Final	security-advisories@github.com
3	https://github.com/netty/netty/security/advisories/GHSA-h2qv-fj59-j46j	security-advisories@github.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-401	有効期限後のメモリの解放の欠如	https://cwe.mitre.org/data/definitions/401.html