1.1 漏洞概述
近日,斗象科技漏洞情报中心监控到Spring官方发布了Reactor Netty HTTP Server 目录遍历漏洞。
Reactor Netty是基于 Netty 框架提供的非阻塞和支持背压的 TCP/HTTP/UDP/QUIC 客户端和服务器。Reactor Netty HTTP Server 存在目录遍历漏洞。当 Reactor Netty HTTP Server 配置提供静态资源,那么攻击者就可以使用特制的URL进行请求,导致任意文件读取,使得服务器敏感信息泄露。
1.2 影响范围
1.1.0 <= Reactor Netty HTTP Server <= 1.1.12
Reactor Netty HTTP Server <= 1.0.38
1.3 复现环境
Reactor Netty HTTP Server 1.0.38
1.4 漏洞复现
未授权攻击者可以利用特制的URL绕过设置的静态资源文件夹,从而读取服务器上的敏感信息。
1.5 修复建议
1.5.1 版本升级
厂商已发布了漏洞修复程序,请使用此产品的用户尽快更新安全补丁:
Reactor Netty HTTP Server >= 1.1.13
Reactor Netty HTTP Server >= 1.0.39
官方下载链接:
https://github.com/reactor/reactor-netty/releases
1.6 参考链接