2023年11月16日,网上公开披露了Reactor Netty HTTP Server 路径穿越漏洞,Netty 是一个用于开发Java网络应用程序的非阻塞 I/O框架,Reactor Netty是基于Netty框架的非阻塞请求客户端与服务端,请各位用户尽快安装漏洞补丁。
漏洞风险:
Reactor Netty HTTP Server <1.1.13或<1.0.39版本中 ,当Reactor Netty HTTP Server被配置为提供静态资源时,url中的scheme会被传递到UriEndpoint中并与pathAndQuery拼接,返回对应的文件,导致路径穿越攻击。
漏洞修复通过增加 validateScheme 方法对 scheme 进行验证,避免路径穿越。
风险等级:高风险。
影响范围:
io.projectreactor.netty:reactor-netty-http@[1.0.0, 1.0.39)
io.projectreactor.netty:reactor-netty-http@[1.1.0, 1.1.13)
修复建议:
将 io.projectreactor.netty:reactor-netty-http 升级至 1.0.39 、1.1.13及以上版本
将组件 io.projectreactor.netty:reactor-netty-http 升级至 1.0.39 及以上版本
进行安全更新方法:
https://github.com/advisories/GHSA-xjhv-p3fv-x24r
