描述

在 Reactor Netty HTTP 服务器中，1.1.x 版本早于 1.1.13 和 1.0.x 版本早于 1.0.39，恶意用户可以发送使用特制 URL 的请求，这可能导致目录遍历攻击。

具体来说，如果 Reactor Netty HTTP 服务器配置为提供静态资源，则应用程序容易受到攻击。

受影响的 Spring 产品和版本

• Reactor Netty
  • 1.1.0 到 1.1.12
  • 1.0.0 到 1.0.38
  • 以及不受支持的旧版本

缓解措施

受影响版本的用户应采用以下缓解措施。1.1.x 用户应升级到 1.1.13。1.0.x 用户应升级到 1.0.39。无需其他步骤。已修复此问题的版本包括

• Reactor Netty
  • 1.1.13
  • 1.0.39

致谢

该问题由 BVU Beratergruppe Verkehr + Umwelt GmbH 的 Michael Ummels 博士识别并负责任地报告

参考资料

• https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N&version=3.1

历史

• 2023-11-15：首次发布漏洞报告。