一����、漏洞詳情
Next.js是一個基于React的開源框架���,用于構(gòu)建現(xiàn)代web應(yīng)用程序����。
近日��,監(jiān)測到Next.js 14.2.25及15.2.3之前的版本存在一個嚴重的中間件授權(quán)繞過漏洞��。攻擊者可以通過在請求中添加x-middleware-subrequest頭部�,繞過中間件的授權(quán)和認證檢查,進而訪問受保護的資源或繞過安全控制�。該漏洞可能導(dǎo)致信息泄露�、惡意數(shù)據(jù)訪問等安全風(fēng)險���。
建議受影響用戶做好資產(chǎn)自查以及預(yù)防工作����,以免遭受黑客攻擊���。
二�、影響范圍
11.1.4 <= next.js <= 13.5.6
14.0 <= next.js < 14.2.25
15.0 <= next.js<15.2.3
三�����、修復(fù)建議
官方已發(fā)布修復(fù)版本,建議受影響用戶盡快更新