一�、漏洞詳情
Next.js是一個(gè)基于React的開(kāi)源框架,用于構(gòu)建現(xiàn)代web應(yīng)用程序����。
近日����,監(jiān)測(cè)到Next.js 14.2.25及15.2.3之前的版本存在一個(gè)嚴(yán)重的中間件授權(quán)繞過(guò)漏洞。攻擊者可以通過(guò)在請(qǐng)求中添加x-middleware-subrequest頭部���,繞過(guò)中間件的授權(quán)和認(rèn)證檢查�����,進(jìn)而訪問(wèn)受保護(hù)的資源或繞過(guò)安全控制����。該漏洞可能導(dǎo)致信息泄露、惡意數(shù)據(jù)訪問(wèn)等安全風(fēng)險(xiǎn)����。
建議受影響用戶(hù)做好資產(chǎn)自查以及預(yù)防工作�,以免遭受黑客攻擊�。
二����、影響范圍
11.1.4 <= next.js <= 13.5.6
14.0 <= next.js < 14.2.25
15.0 <= next.js<15.2.3
三����、修復(fù)建議
官方已發(fā)布修復(fù)版本,建議受影響用戶(hù)盡快更新