Next.js高危漏洞可致SSRF攻击、DoS瘫痪

admin
admin
admin
0
文章
0
评论
2026-05-18 05:47:36 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: Vercel修复了Next.js多个高危漏洞,包括拒绝服务、中间件绕过、SSRF和XSS等安全问题,影响13.x至16.x及19.x版本。关键发现包括CVE-2026-23870可致CPU激增瘫痪服务、CVE-2026-44578允许WebSocket请求实施SSRF攻击。建议立即升级版本,或通过实施页面级授权、限制WebSocket升级等措施临时缓解。 综合评分: 85 文章分类: 漏洞分析,漏洞预警,解决方案,WEB安全,安全建设

cover_image

Next.js高危漏洞可致SSRF攻击、DoS瘫痪

FreeBuf

2026年5月11日 19:48 上海

在小说阅读器读本章

去阅读

#

Vercel 发布了针对 Next.js 的一系列安全公告,修复了十余个漏洞,包括拒绝服务、中间件绕过、服务端请求伪造(SSRF)和跨站脚本(XSS)等安全问题。这些漏洞影响使用 App Router 的 Next.js 13.x 至 16.x 版本,以及 19.x 版本的 React Server Components 软件包。

#

Part01

CVE-2026-23870

高危拒绝服务漏洞(CVE-2026-23870)影响 19.x 版本的 React Server Components 软件包,以及 13.x、14.x、15.x 和 16.x 版本的所有 Next.js App Router 部署。攻击者向任意 App Router 服务器函数端点发送特制的 HTTP 请求,在反序列化时会触发 CPU 使用率激增,导致未修复环境遭受拒绝服务攻击。

该问题的根源在于 React “Flight” 协议的反序列化逻辑未能对传入的有效负载实施充分的结构或类型约束。

Part02

中间件与代理授权绕过漏洞

三项独立公告(GHSA-267c-6grr-h53f、GHSA-26hh-7cqf-hhc6 和 GHSA-492v-c6pp-mqqv)涉及 App Router 应用程序中的中间件绕过漏洞。特制的 .rsc 和段预取 URL 可以解析到同一页面而不受预期中间件规则匹配,导致未经适当授权检查即可访问受保护内容。

修复方案现已在生成中间件匹配器时包含 App Router 传输变体,确保中间件保护措施一致适用于所有请求类型(包括预取变体)。在升级前,开发者应在底层路由或页面逻辑中直接实施授权,而非仅依赖中间件。

Part03

CVE-2026-44578

高危漏洞(CVE-2026-44578,GHSA-c4j6-fc7j-m34r)允许攻击者通过特制 WebSocket 升级请求在自托管 Node.js 部署中实施服务端请求伪造(SSRF)。攻击者可操纵服务器将请求代理至任意内部或外部目标,可能暴露内部服务或云元数据端点,这对云原生环境尤为危险。

Vercel 托管的部署明确标明不受影响。修复方案对 WebSocket 升级处理应用了与标准 HTTP 请求相同的安全检查。

Part04

CVE-2026-44573

CVE-2026-44573(GHSA-36qx-fr4f-26g5)影响使用 Pages Router 并配置了 i18n 及基于中间件授权的应用程序。无区域设置的 /_next/data//.json 请求会完全绕过中间件,使攻击者无需通过授权检查即可获取受保护页面的服务端渲染 JSON。

匹配器逻辑已更新,确保在带前缀和不带前缀的数据路由上应用一致的匹配规则。

除高危漏洞外,Vercel 还修复了多个中低危问题,包括:

  • 使用 CSP nonce 的 App Router 应用程序中的 XSS 漏洞(GHSA-ffhc-5mcf-pf4q)
  • 含不可信输入的 beforeInteractive 脚本中的 XSS 漏洞(GHSA-gx5p-jg67-6x7h)
  • 图像优化 API 中的拒绝服务漏洞(GHSA-h64f-5h5j-jqjh)
  • React Server Component 响应中的缓存投毒问题(GHSA-wfc6-r584-vfw7、GHSA-vfv6-92ff-j949)
  • 缓存组件中的连接耗尽拒绝服务漏洞(GHSA-mg66-mrh9-m8jx)
  • 中间件重定向的缓存投毒问题(GHSA-3g8h-86w9-wvmq)

运行受影响 Next.js 版本的组织应优先立即升级。对于无法立即升级的团队,建议采取以下临时缓解措施:

  • 在单独的路由或页面逻辑中实施授权,而非仅依赖中间件
  • 在反向代理或负载均衡器层面阻止 WebSocket 升级
  • 限制服务器出口流量至已知内部网络

参考来源:

Multiple Critical Vulnerabilities Patched in Next.js and React Server Components

Multiple Critical Vulnerabilities Patched in Next.js and React Server Components

推荐阅读

电报讨论

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:FreeBuf 《Next.js高危漏洞可致SSRF攻击、DoS瘫痪》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0