漏洞背景

近日，嘉诚安全监测到Reactor Netty HTTP Server中存在目录遍历漏洞，漏洞编号为：CVE-2023-34062。

Reactor Netty是一个异步事件驱动的网络应用程序框架，提供了非阻塞且支持背压的TCP/HTTP/UDP/ QUIC客户端和服务器，它基于Netty框架。如果在Spring Boot应用程序中使用WebFlux，Spring Boot会自动将Reactor Netty配置为默认服务器。

鉴于漏洞危害较大，嘉诚安全提醒相关用户尽快更新至安全版本，避免引发漏洞相关的网络安全事件。

漏洞详情

经研判，该漏为高危漏洞。当Reactor Netty HTTP Server配置为提供静态资源时，容易受到目录遍历漏洞的影响，可在未经身份验证的情况下使用特制URL发送请求，从而导致目录遍历攻击，成功利用该漏洞可能导致信息泄露、执行未授权操作等。

危害影响

影响版本

Reactor Netty 1.1.0 - 1.1.12

Reactor Netty 1.0.0 - 1.0.38

以及不受支持的旧版本。

修复建议

根据影响版本中的信息，建议相关用户尽快更新至安全版本：

1.1.x版本：升级到 1.1.13

1.0.x版本：升级到 1.0.39

下载链接请参考：

https://github.com/reactor/reactor-netty/releases