CVE-2025-67735 (CNNVD-202512-3127)
中文标题:
Netty 注入漏洞
英文标题:
Netty has a CRLF Injection vulnerability in io.netty.handler.codec.http.HttpRequestEncoder
漏洞描述
中文描述:
Netty是Netty社区的一款非阻塞I/O客户端-服务器框架,它主要用于开发Java网络应用程序,如协议服务器和客户端等。 Netty 4.1.129.Final之前版本和4.2.8.Final之前版本存在注入漏洞,该漏洞源于HttpRequestEncoder存在CRLF注入问题,可能导致请求夹带攻击。
英文描述:
Netty is an asynchronous, event-driven network application framework. In versions prior to 4.1.129.Final and 4.2.8.Final, the `io.netty.handler.codec.http.HttpRequestEncoder` has a CRLF injection with the request URI when constructing a request. This leads to request smuggling when `HttpRequestEncoder` is used without proper sanitization of the URI. Any application / framework using `HttpRequestEncoder` can be subject to be abused to perform request smuggling using CRLF injection. Versions 4.1.129.Final and 4.2.8.Final fix the issue.
CWE类型:
标签:
受影响产品
| 厂商 | 产品 | 版本 | 版本范围 | 平台 | CPE |
|---|---|---|---|---|---|
| netty | netty | >= 4.2.0.Alpha1, < 4.2.8.Final | - | - |
cpe:2.3:a:netty:netty:>=_4.2.0.alpha1,_<_4.2.8.final:*:*:*:*:*:*:*
|
| netty | netty | < 4.1.129.Final | - | - |
cpe:2.3:a:netty:netty:<_4.1.129.final:*:*:*:*:*:*:*
|
| netty | netty | * | - | - |
cpe:2.3:a:netty:netty:*:*:*:*:*:*:*:*
|
解决方案
中文解决方案:
英文解决方案:
临时解决方案:
参考链接
cve.org
CVSS评分详情
3.1 (cna)
MEDIUMCVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
时间信息
利用信息
数据源详情
| 数据源 | 记录ID | 版本 | 提取时间 |
|---|---|---|---|
| CVE | cve_CVE-2025-67735 |
2025-12-19 03:24:49 | 2026-01-12 02:12:27 |
| NVD | nvd_CVE-2025-67735 |
2026-01-03 03:00:09 | 2026-01-12 02:28:09 |
| CNNVD | cnnvd_CNNVD-202512-3127 |
2026-01-26 02:10:02 | 2026-01-25 18:11:37 |
版本与语言
安全公告
变更历史
查看详细变更
- vulnerability_type: 未提取 -> 注入
- cnnvd_id: 未提取 -> CNNVD-202512-3127
- data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']
查看详细变更
- affected_products_count: 2 -> 3
- data_sources: ['cve'] -> ['cve', 'nvd']