CVE-2026-33870

概要

Netty は Java の 非同期 イベント 駆動 型 ネットワーク フレームワーク であり、多数 の Java アプリケーション や フレームワーク の 基盤 として 使用 されて います。この 脆弱性 は、HTTP/1.1 の chunked transfer encoding に おける 拡張 値（extension values）の クォート 文字列 解析 が 不正確 で ある こと に 起因 する リクエスト スマグリング の 問題 です。

HTTP/1.1 の Transfer-Encoding: chunked で は、各 チャンク の サイズ 行 に 拡張 パラメータ を 含める こと が できます。Netty の パーサー は この 拡張 値 内 の クォート 文字列 を 正しく 解析 できず、特定 の 入力 パターン に おいて チャンク サイズ の 境界 を 誤認 します。この 結果、フロント エンド プロキシ と バック エンド サーバー で HTTP リクエスト の 境界 解釈 が 異なり、リクエスト スマグリング が 成立 します。

リクエスト スマグリング は CWE-444（Inconsistent Interpretation of HTTP Requests）に 分類 され、以下 の 攻撃 に 悪用 される 可能性 が あります: アクセス 制御 の バイパス、他 の ユーザー へ の リクエスト 混入、Web キャッシュ ポイズニング、セッション ハイジャック。

影響 を 受ける バージョン は Netty 4.1.132.Final より 前 および 4.2.10.Final より 前 です。CVSS スコア は 7.5 で High と 評価 されて います。Netty を 直接 または 間接的 に 使用 して いる Java アプリケーション は、依存 関係 を 確認 し アップデート を 実施 して ください。

Netty は Spring Boot、Vert.x、gRPC-Java、Apache Cassandra、Elasticsearch など の 多数 の Java プロジェクト の 基盤 として 使用 されて おり、間接 依存 として 含まれて いる ケース が 非常 に 多い です。HTTP リクエスト スマグリング は Web アプリケーション セキュリティ に おいて 重大 な 脅威 であり、プロキシ と バック エンド サーバー の 間 で リクエスト 解釈 の 不一致 を 悪用 します。Maven や Gradle で dependency:tree を 実行 し、Netty の バージョン を 確認 する こと を 推奨 します。

CVSS ベクトル

影響 を 受ける ソフトウェア

修正 バージョン と 回避策

• 修正 バージョン: 4.1.132.Final、4.2.10.Final
• 回避策: フロント エンド プロキシ で chunked transfer encoding の 拡張 パラメータ を 除去 する
• 回避策: WAF（Web Application Firewall）で 不正 な chunked リクエスト を 検出・ブロック する
• 推奨: Maven や Gradle の 依存 関係 を 確認 し、Netty を 修正 バージョン に アップデート する
• 推奨: 間接 依存 として Netty を 使用 して いる フレームワーク（Spring Boot、Vert.x、gRPC-Java 等）の アップデート も 確認 する
• 推奨: HTTP/2 や gRPC を 使用 して いる 場合 でも HTTP/1.1 の エンドポイント が 有効 な 場合 は 影響 を 受ける 可能性 が ある ため 確認 する
• 推奨: OWASP Dependency-Check や Snyk 等 の ツール を CI/CD パイプライン に 組み込み 脆弱 な 依存 関係 を 自動 検出 する

関連 リンク

• NVD
• GitHub Security Advisory - GHSA-pwqr-wmgm-9rr8

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。