/
netty-codec-http (CVE-2025-58056)

netty-codec-http (CVE-2025-58056)

Betroffene Produkte:

  • jadice flow Komponenten:

    • jadice-flow-controller

    • worker-imagemagick

    • worker-libreoffice

    • worker-emaildisassembly

    • worker-topdf

    • worker-analyzer

    • jadice-server-cloud

    • worker-clamav

    • worker-anno-migrator

Herkunft:

Die CVE stammt aus der Dependency “io.netty:netty-codec-http” in der Version 4.1.123.Final.

Auswirkung & Informationen zur CVE:

Netty akzeptiert fälschlicherweise newline characters (LF) als Chunk-Size Zeilen Ende. Eigentlich ist laut HTTP/1.1 Standard ein “CRLF” erforderlich. Wenn ein Reverse Proxy “LF” anders parsed, kann ein Angreifer einzelne Requests erstellen, die der Proxy als nur ein Request wahrnimmt, aber Netty als zwei Requests verarbeitet. Dadurch sind “Request Smuggeling” Angriffe möglich.

Weitere Informationen können Sie unter folgenden Link finden: https://nvd.nist.gov/vuln/detail/CVE-2025-58056

Bewertung & Abhilfe:

Da unsere Produkte von dieser CVE betroffen sind, und die CVE in der Netty Version 4.1.125.Final behoben ist, haben wir unsere Produkte entsprechend upgedatet. Im folgenden können Sie die neuen Versionen finden. Wir empfehlen ein Update auf diese Versionen:

Bundles:

document enhancer: 0.13.2

document conversion: 1.7.2

email conversion: 0.28.2

image conversion: 1.5.2

anno migrator: 1.5.2

archive migrator: 0.7.2

web toolkit addon: 1.7.2

Technologiepakete:

tesseract (ocr): 1.22.4

pdf persmissions: 1.8.6

virus scan: 0.9.0

html conversion: 1.13.0

decompress: 1.14.0

ms word: 0.13.2

ms excel: 0.13.2

ms powerpoint: 0.13.2