Zurück zur Liste

Netty: HttpObjectDecoder skips arbitrary initial control characters when only initial CRLF characters are permitted — CVE-2026-50020

GitHub · GitHub · CVE-2026-50020

ID
CVE-2026-50020

Datum
2026-06-15

Activity
2026-06-15

Quelle
GitHub

Vendor
GitHub

Risiko
medium

CVSS
5.3

EPSS
0.00027

Zusammenfassung

## Summary Before reading the first request-line, `HttpObjectDecoder` skips every byte for which `Character.isISOControl(b)` is `true` (0x00–0x1F and 0x7F) as well as all whitespace. RFC 9112 §2.2 only asks servers to ignore **empty CRLF lines** preceding the request-line — a carefully scoped robustness allowance intended to handle HTTP/1.0 POST workarounds. Silently absorbing NUL bytes, SOH, STX, and other…

Produkt

maven: io.netty:netty-codec-http

Was tun?

Allgemeine, vorsichtige Schritte (bitte prüfe die offizielle Quelle für Details):

Prüfe Exponierung und plane Maßnahmen nach Risiko und Umfeld.
Identifiziere betroffene Produktversionen und prüfe, ob du betroffen bist.
Spiele Hersteller-Updates/Patches ein oder setze empfohlene Mitigations um.
Lies das offizielle Advisory für betroffene Versionen und konkrete Schritte.

Offizielles Advisory

Mehr dazu

GitHub GitHub 2026-W25

389-ds-base security update

2026-06-17 RHSA-2026:26464

highRed Hat Red Hat 2026-W25

389-ds-base security update

2026-06-17 RHSA-2026:26465

highRed Hat Red Hat 2026-W25

389-ds:1.4 security update

2026-06-17 RHSA-2026:26463

highRed Hat Red Hat 2026-W25

firefox security update

2026-06-17 RHSA-2026:26491

highRed Hat Red Hat 2026-W25

firefox security update

2026-06-17 RHSA-2026:26492

highRed Hat Red Hat 2026-W25

firefox security update

2026-06-17 RHSA-2026:26493

highRed Hat Red Hat 2026-W25