发布日期：2020-01-27
更新日期：2020-09-21

受影响系统：

Netty  4.1.43.Final

描述：

---

CVE(CAN) ID: CVE-2020-7238

Netty是Netty社区的一款非阻塞I/O客户端-服务器框架，它主要用于开发Java网络应用程序，如协议服务器和客户端等。
Netty 4.1.43.Final版本存在HTTP请求走私漏洞。该漏洞源于程序在处理传输编码空白和更高版本的Content-Length标头时存在漏洞。攻击者可利用该漏洞通过发送特制请求造成缓存中毒,绕过Web应用程序防火墙保护并进行跨站脚本攻击。

<**>

建议：

---

厂商补丁：

Netty
-----
目前厂商暂未发布修复措施解决此安全问题，建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法：

http://cn.dota2.com/

浏览次数：805
严重程度：0（网友投票）