Vulnerabilidad en Netty (CVE-2024-29025)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
25/03/2024
Última modificación:
19/09/2025
Descripción
Netty es un framework de aplicación de red asíncrono impulsado por eventos para el desarrollo rápido de servidores y clientes de protocolo de alto rendimiento mantenibles. Se puede engañar al `HttpPostRequestDecoder` para que acumule datos. Si bien el decodificador puede almacenar elementos en el disco si está configurado así, no hay límites para la cantidad de campos que puede tener el formulario, un adjunto puede enviar una publicación fragmentada que consta de muchos campos pequeños que se acumularán en la lista `bodyListHttpData`. El decodificador acumula bytes en el búfer `undecodedChunk` hasta que puede decodificar un campo, este campo puede acumular datos sin límites. Esta vulnerabilidad se soluciona en 4.1.108.Final.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:netty:netty:*:*:*:*:*:*:*:* | 4.1.108 (excluyendo) | |
| cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://gist.github.com/vietj/f558b8ea81ec6505f1e9a6ca283c9ae3
- https://github.com/netty/netty/commit/0d0c6ed782d13d423586ad0c71737b2c7d02058c
- https://github.com/netty/netty/security/advisories/GHSA-5jpm-x58v-624v
- https://lists.debian.org/debian-lts-announce/2024/06/msg00015.html
- https://gist.github.com/vietj/f558b8ea81ec6505f1e9a6ca283c9ae3
- https://github.com/netty/netty/commit/0d0c6ed782d13d423586ad0c71737b2c7d02058c
- https://github.com/netty/netty/security/advisories/GHSA-5jpm-x58v-624v
- https://lists.debian.org/debian-lts-announce/2024/06/msg00015.html