製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

Nettyにおける通信チャネルの送信元の不適切な検証に関する脆弱性

タイトル	Nettyにおける通信チャネルの送信元の不適切な検証に関する脆弱性
概要	Nettyは、プロトコルサーバーおよびクライアントの開発のためのネットワークアプリケーションフレームワークです。NoQuicTokenHandlerは、アプリケーションがトークンハンドラーを設定しない場合に使用されるtokenHandlerです。バージョン4.2.15.Final以前では、そのwriteToken()はfalseを返し（サーバーはRetryを送信しない—許容される）、validateToken()は無条件に`return 0`を返していました。QuicheQuicServerCodec.handlePacket()では、validateToken()からの0以上の返り値が「トークンは有効で、ODCIDがオフセット0から始まる」と解釈され、サーバーはクライアントのアドレスがRetryラウンドトリップによって検証されたかのようにquiche_acceptを呼び出します。RFC 9000 §8.1によると、検証されたアドレスは3倍のアンチアンプリフィケーション送信制限を解除します。したがって、攻撃者が初期パケットに任意の非空トークンバイトを含めて被害者の送信元IPを偽装し送信すると、Nettyサーバーは被害者を検証済みとみなして3倍の制限なしにフルサイズのハンドシェイクフライト（証明書など）を反射します。正しい「トークンなしハンドラー」の意味は、-1（無効）を返して通常の未検証パスとアンプリフィケーション制限を適用することです。この問題はバージョン4.2.15.Finalで修正されました。
想定される影響	・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。・当該ソフトウェアは停止しません。
対策	ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年6月12日0:00
登録日	2026年6月15日18:37
最終更新日	2026年6月15日18:37

CVSS3.0 : 重要
スコア	7.5
ベクター	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

影響を受けるシステム

Netty

Netty 4.2.0 以上 4.2.15 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-44894	https://www.cve.org/CVERecord?id=CVE-2026-44894
National Vulnerability Database (NVD)
2	CVE-2026-44894	https://nvd.nist.gov/vuln/detail/CVE-2026-44894

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-940	https://cwe.mitre.org/data/definitions/940.html

ベンダー情報

No	名前	URL
GitHub
1	Default QUIC token handler accepts any client-supplied token Advisory netty/netty GitHub	https://github.com/netty/netty/security/advisories/GHSA-cmm3-54f8-px4j

その他

No	名前	URL
関連文書
1	Release netty-4.2.15.Final netty/netty GitHub	https://github.com/netty/netty/releases/tag/netty-4.2.15.Final

変更履歴

No	変更内容	変更日
1	[2026年06月15日] 掲載	2026年6月15日18:37

NVD脆弱性情報

CVE-2026-44894

概要	Netty is a network application framework for development of protocol servers and clients. NoQuicTokenHandler is the tokenHandler used when the application does not set one. Prior to version 4.2.15.Final, its writeToken() returns false (server will not send Retry — acceptable), but validateToken() unconditionally `return 0`. In QuicheQuicServerCodec.handlePacket(), a non-negative return from validateToken() is interpreted as 'token is valid, ODCID starts at offset 0', causing the server to call quiche_accept as if the client's address had been validated by a Retry round-trip. Per RFC 9000 §8.1, a validated address lifts the 3× anti-amplification send limit. Thus any attacker who includes ANY non-empty token bytes in an Initial packet — with a spoofed victim source IP — causes the Netty server to treat the victim as validated and reflect full-size handshake flights (certificates, etc.) toward it without the 3× cap. The correct 'no token handler' semantics would be to return -1 (invalid) so the normal un-validated path and amplification limit apply. Version 4.2.15.Final patches the issue.
公表日	2026年6月13日0:16
登録日	2026年6月13日4:17
最終更新日	2026年6月15日11:23

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:netty:netty::::::::		4.2.0			4.2.15

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/netty/netty/releases/tag/netty-4.2.15.Final	security-advisories@github.com
2	https://github.com/netty/netty/security/advisories/GHSA-cmm3-54f8-px4j	security-advisories@github.com

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-940	通信チャネルの送信元の不適切な検証	https://cwe.mitre.org/data/definitions/940.html