Zurück zur Liste

Netty: Unbounded pre-allocation in RedisArrayAggregator from RESP array length — CVE-2026-50011

GitHub · GitHub · CVE-2026-50011

ID
CVE-2026-50011

Datum
2026-06-15

Activity
2026-06-15

Quelle
GitHub

Vendor
GitHub

Risiko
high

CVSS
7.5

EPSS
0.00038

Zusammenfassung

### Summary RedisArrayAggregator pre-allocates ArrayList with initial capacity equal to the RESP array element count declared in an array header. That count is taken from the wire before the corresponding child messages exist. A small malicious header can claim a huge initial capacity. ### Details The aggregator starts a new aggregation level when it receives an ArrayHeaderRedisMessage. For positive lengths it…

Produkt

maven: io.netty:netty-codec-redis

Was tun?

Allgemeine, vorsichtige Schritte (bitte prüfe die offizielle Quelle für Details):

Priorisiere sofort Patches oder Mitigations (hohes akutes Risiko).
Identifiziere betroffene Produktversionen und prüfe, ob du betroffen bist.
Spiele Hersteller-Updates/Patches ein oder setze empfohlene Mitigations um.
Lies das offizielle Advisory für betroffene Versionen und konkrete Schritte.

Offizielles Advisory

Mehr dazu

GitHub GitHub 2026-W25

389-ds-base security update

2026-06-17 RHSA-2026:26464

highRed Hat Red Hat 2026-W25

389-ds-base security update

2026-06-17 RHSA-2026:26465

highRed Hat Red Hat 2026-W25

389-ds:1.4 security update

2026-06-17 RHSA-2026:26463

highRed Hat Red Hat 2026-W25

firefox security update

2026-06-17 RHSA-2026:26491

highRed Hat Red Hat 2026-W25

firefox security update

2026-06-17 RHSA-2026:26492

highRed Hat Red Hat 2026-W25

firefox security update

2026-06-17 RHSA-2026:26493

highRed Hat Red Hat 2026-W25