Netty - CVE-2026-50010
Date de publication :
Date de mise à jour :
Il s'agit d'une vulnérabilité de vérification incorrecte des certificats TLS dans Netty.
Netty est un framework réseau open source utilisé pour développer des serveurs et clients utilisant différents protocoles (HTTP, TCP, etc.), largement intégré dans des applications Java pour la gestion des communications réseau.
La vulnérabilité se produit lorsque le composant SimpleTrustManagerFactory encapsule un X509TrustManager fourni par l'utilisateur dans un wrapper qui supprime certaines informations (notamment le contexte SSLEngine), empêchant l’ajout du mécanisme de vérification de l’hôte. Cela conduit à une absence totale de vérification du nom d’hôte lors des connexions TLS, malgré une configuration censée l’activer par défaut.
Un attaquant capable d’intercepter le trafic réseau peut exploiter cette faille pour usurper un serveur légitime (attaque de type man-in-the-middle) et accéder aux données échangées ou compromettre la confidentialité des communications.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Atteinte à la confidentialité des données
Exploitation
CWE-347 : Improper Verification of Cryptographic Signature
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : En attente d’information
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Solutions ou recommandations
• Mise à jour vers Netty version 4.2.15.Final ou ultérieure