製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

Nettyにおけるリソースの枯渇に関する脆弱性

タイトル	Nettyにおけるリソースの枯渇に関する脆弱性
概要	Nettyは非同期かつイベント駆動型のネットワークアプリケーションフレームワークです。4.2.13.Finalおよび4.1.133.Finalより前のバージョンでは、MQTT 5ヘッダーのPropertiesセクションがメッセージサイズ制限が適用される前に解析およびバッファリングされていました。具体的には、MqttDecoderのdecodeVariableHeader()メソッドがbytesRemainingBeforeVariableHeader maxBytesInMessageのチェックより前に呼び出されていました。decodeVariableHeader()はdecodeProperties()を呼び出す他のメソッドを呼び出すことがあります。実質的にNettyはデコードされるPropertiesのサイズに制限を適用していませんでした。さらに、MqttDecoderがReplayingDecoderを継承しているため、Nettyは巨大なPropertiesセクションを繰り返し再解析し、完全に解析が完了するまでバイトをメモリにバッファリングし続けていました。これによりCPUおよびメモリのリソース使用率が高くなる可能性がありました。この脆弱性は4.2.13.Finalおよび4.1.133.Finalで修正されています。
想定される影響	当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。また、当該ソフトウェアが扱う情報について、書き換えは発生しません。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年5月13日0:00
登録日	2026年5月20日13:28
最終更新日	2026年5月20日13:28

CVSS3.0 : 重要
スコア	7.5
ベクター	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

影響を受けるシステム

Netty

Netty 4.1.133 未満

Netty 4.2.0 以上 4.2.13 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-44248	https://www.cve.org/CVERecord?id=CVE-2026-44248
National Vulnerability Database (NVD)
2	CVE-2026-44248	https://nvd.nist.gov/vuln/detail/CVE-2026-44248

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-400	https://cwe.mitre.org/data/definitions/400.html

ベンダー情報

No	名前	URL
GitHub
1	MQTT: Resource exhaustion in MqttDecoder Advisory netty/netty GitHub	https://github.com/netty/netty/security/advisories/GHSA-jfg9-48mv-9qgx

変更履歴

No	変更内容	変更日
1	[2026年05月20日] 掲載	2026年5月20日13:28

NVD脆弱性情報

CVE-2026-44248

概要	Netty is an asynchronous, event-driven network application framework. Prior to 4.2.13.Final and 4.1.133.Final, the MQTT 5 header Properties section is parsed and buffered before any message size limit is applied. Specifically, in MqttDecoder, the decodeVariableHeader() method is called before the bytesRemainingBeforeVariableHeader > maxBytesInMessage check. The decodeVariableHeader() can call other methods which will call decodeProperties(). Effectively, Netty does not apply any limits to the size of the properties being decoded. Additionally, because MqttDecoder extends ReplayingDecoder, Netty will repeatedly re-parse the enormous Properties sections and buffer the bytes in memory, until the entire thing parses to completion. This can cause high resource usage in both CPU and memory. This vulnerability is fixed in 4.2.13.Final and 4.1.133.Final.
公表日	2026年5月14日4:17
登録日	2026年5月15日4:22
最終更新日	2026年5月18日21:15

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:netty:netty::::::::					4.1.133
cpe:2.3:a:netty:netty::::::::		4.2.0			4.2.13

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/netty/netty/security/advisories/GHSA-jfg9-48mv-9qgx	security-advisories@github.com

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-400	リソースの枯渇	https://cwe.mitre.org/data/definitions/400.html