領先一步
VMware 提供培訓和認證,助您加速進步。
瞭解更多CVE-2025-22227:Reactor Netty HTTP 客戶端在重定向時發生身份驗證資訊洩露
描述
在某些特定場景下,當存在鏈式重定向時,Reactor Netty HTTP 客戶端會洩露憑據。要觸發此問題,HTTP 客戶端必須已明確配置為遵循重定向。
受影響的 Spring 產品和版本
Reactor Netty
- 1.0.0 - 1.0.48
- 1.1.0 - 1.1.31
- 1.2.0 - 1.2.7
- 1.3.0-M1 - 1.3.0-M4
- 更早的不受支援版本也受到影響。建議這些版本的使用者升級到受支援的版本。
緩解措施
受影響版本的使用者應升級到相應的修復版本。
| 受影響版本 | 修復版本 | 可用性 |
|---|---|---|
| 1.0.x | 1.0.49 (Reactor BOM 2020.0.48) | 商業 |
| 1.1.x | 1.1.32 (Reactor BOM 2022.0.27 和 2023.0.20) | 商業 |
| 1.2.x | 1.2.8 (Reactor BOM 2024.0.8) | OSS |
| 1.3.x | 1.3.0-M5 (Reactor BOM 2025.0.0-M5) | OSS |
無需進一步的緩解措施。
致謝
該問題由 Martin van Wingerden 負責任地報告。
參考資料
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
報告漏洞
要報告 Spring 組合專案中存在的安全漏洞,請參閱安全策略