关键信息 漏洞概述 CVE编号: CVE-2025-22227 标题: Authentication Leak On Redirect With Reactor Netty HTTP Client 严重性: MEDIUM 发布日期: July 15, 2025 描述 在某些特定场景下,当存在链式重定向时,Reactor Netty HTTP 客户端会泄露凭据。要发生这种情况,HTTP 客户端必须被显式配置为跟随重定向。 影响的 Spring 产品和版本 Reactor Netty: - 1.0.0 - 1.0.48 - 1.1.0 - 1.1.31 - 1.2.0 - 1.2.7 - 1.3.0 M1 - 1.3.0 M4 - 更旧的不受支持的版本也受到影响。 缓解措施 受影响版本的用户应升级到相应的修复版本。 无需进一步的缓解步骤。 致谢 该问题由 Martin van Wingerden 负责任地报告。 参考资料 https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:A/N