一、漏洞详情
Next.js是一个基于React的开源框架,用于构建现代web应用程序。
近日,监测到Next.js 14.2.25及15.2.3之前的版本存在一个严重的中间件授权绕过漏洞。攻击者可以通过在请求中添加x-middleware-subrequest头部,绕过中间件的授权和认证检查,进而访问受保护的资源或绕过安全控制。该漏洞可能导致信息泄露、恶意数据访问等安全风险。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
11.1.4 <= next.js <= 13.5.6
14.0 <= next.js < 14.2.25
15.0 <= next.js<15.2.3
三、修复建议
官方已发布修复版本,建议受影响用户尽快更新。