1.1 漏洞概述
Reactor Netty是基于 Netty 框架提供的非阻塞和支持背压的 TCP/HTTP/UDP/QUIC 客户端和服务器。Reactor Netty HTTP Server 存在目录遍历漏洞。当 Reactor Netty HTTP Server 配置提供静态资源,那么攻击者就可以使用特制的URL进行请求,导致任意文件读取,使得服务器敏感信息泄露。
1.2 影响范围
Reactor Netty HTTP Server <= 1.0.38
1.3 复现环境
Reactor Netty HTTP Server 1.0.38
1.4 漏洞复现
1.5 修复建议
1.5.1 版本升级
厂商已发布了漏洞修复程序,请使用此产品的用户尽快更新安全补丁:
官方下载链接:
1.6 参考链接
https://spring.io/security/cve-2023-34062
原文始发于微信公众号(斗象智能安全):Reactor Netty HTTP Server 目录遍历漏洞(CVE-2023-34062)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论