今天发布了以下CVE报告

• CVE-2020-5403 影响Reactor Netty HttpServer 0.9.3和0.9.4版本。
• CVE-2020-5404 影响Reactor Netty HttpClient 的所有0.8.x和0.9.x版本，这些版本在显式启用自动重定向的应用程序中存在漏洞。

Reactor Netty 0.9.5和0.8.16版本已修复此问题。如果使用reactor-bom，可以升级到Dysprosium-SR5或Californium-SR16。

许多框架（包括Spring WebFlux及其WebClient）内部都使用Reactor Netty。如果使用Spring Boot应用程序，可以升级到Spring Boot 2.2.5或2.1.13。