领先一步
VMware 提供培训和认证,助您加速进步。
了解更多CVE-2025-22227:Reactor Netty HTTP 客户端在重定向时发生身份验证信息泄露
描述
在某些特定场景下,当存在链式重定向时,Reactor Netty HTTP 客户端会泄露凭据。要触发此问题,HTTP 客户端必须已明确配置为遵循重定向。
受影响的 Spring 产品和版本
Reactor Netty
- 1.0.0 - 1.0.48
- 1.1.0 - 1.1.31
- 1.2.0 - 1.2.7
- 1.3.0-M1 - 1.3.0-M4
- 更早的不受支持版本也受到影响。建议这些版本的用户升级到受支持的版本。
缓解措施
受影响版本的用户应升级到相应的修复版本。
| 受影响版本 | 修复版本 | 可用性 |
|---|---|---|
| 1.0.x | 1.0.49 (Reactor BOM 2020.0.48) | 商业 |
| 1.1.x | 1.1.32 (Reactor BOM 2022.0.27 和 2023.0.20) | 商业 |
| 1.2.x | 1.2.8 (Reactor BOM 2024.0.8) | OSS |
| 1.3.x | 1.3.0-M5 (Reactor BOM 2025.0.0-M5) | OSS |
无需进一步的缓解措施。
致谢
该问题由 Martin van Wingerden 负责任地报告。
参考资料
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
报告漏洞
要报告 Spring 组合项目中存在的安全漏洞,请参阅安全策略