Vulnerabilidad en Netty (CVE-2025-24970)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
10/02/2025
Última modificación:
05/09/2025
Descripción
Netty, un framework de aplicación de red asincrónico y controlado por eventos, tiene una vulnerabilidad a partir de la versión 4.1.91.Final y anteriores a la versión 4.1.118.Final. Cuando se recibe un paquete especialmente manipulado a través de SslHandler, no se gestiona correctamente la validación de dicho paquete en todos los casos, lo que puede provocar un bloqueo nativo. La versión 4.1.118.Final contiene un parche. Como workaround, es posible deshabilitar el uso de SSLEngine nativo o cambiar el código manualmente.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:netty:netty:*:*:*:*:*:*:*:* | 4.1.91 (incluyendo) | 4.1.118 (excluyendo) |
| cpe:2.3:a:netapp:active_iq_unified_manager:-:*:*:*:*:linux:*:* | ||
| cpe:2.3:a:netapp:active_iq_unified_manager:-:*:*:*:*:vmware_vsphere:*:* | ||
| cpe:2.3:a:netapp:active_iq_unified_manager:-:*:*:*:*:windows:*:* | ||
| cpe:2.3:a:netapp:oncommand_insight:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/netty/netty/commit/87f40725155b2f89adfde68c7732f97c153676c4
- https://github.com/netty/netty/security/advisories/GHSA-4g8c-wm8x-jfhw
- https://security.netapp.com/advisory/ntap-20250221-0005/
- https://www.vicarius.io/vsociety/posts/cve-2025-24970-netty-vulnerability-detection
- https://www.vicarius.io/vsociety/posts/cve-2025-24970-netty-vulnerability-mitigation
- https://github.com/netty/netty/security/advisories/GHSA-4g8c-wm8x-jfhw