CVE-2026-33870Netty是一个异步事件驱动的网络应用框架。在4.1.132.Final和4.2.10.Final之前的版本中,Netty在解析HTTP/1.1分块传输编码扩展值的引用字符串时存在错误。该漏洞允许攻击者利用解析逻辑的缺陷,构造恶意的HTTP请求,从而绕过安全检查或干扰请求处理,最终导致HTTP请求走私攻击。此漏洞可能影响下游服务器的安全性,造成数据泄露或未授权操作。
该漏洞源于Netty对HTTP/1.1协议中分块传输编码扩展参数的处理逻辑缺陷。具体而言,当分块头部包含带引号的扩展值时,Netty的解析器未能正确处理引号内的内容,导致对分块大小或扩展字段边界的判定出现偏差。攻击者可以通过发送特制的HTTP请求,利用这种解析不一致性,混淆前端代理与后端Netty服务对请求边界的理解。例如,攻击者可以构造包含畸形Chunk-Size或恶意扩展名的请求,使得前端认为请求已结束,而后端Netty将后续数据视为新请求的一部分。这种差异使得攻击者能够“走私”恶意请求到后端应用,可能绕过防火墙规则、访问受限端点或对其他用户执行操作。