小百科,大世界
首页 / 计算机 / IT资讯

[3]CVE202451479 Next.js授权绕过漏洞影响数百万开发人员 繁體

全球数百万开发人员使用的流行 React 框架 Next.js 最近披露了一个安全漏洞,该漏洞可能允许未经授权访问敏感的应用程序数据。

该漏洞被追踪为 CVE-2024-51479,CVSS 得分为 7.5,由 IERAE 的 GMO Cybersecurity 的 tyage 发现。该漏洞影响 Next.js 9.5.5 至 14.2.14 版本。

该漏洞源于 Next.js 中间件中的授权绕过问题。正如安全公告中所描述的,“如果 Next.js 应用程序在中间件中基于路径名执行授权,那么对于直接位于应用程序根目录下的页面,这种授权就有可能被绕过。”

从本质上讲,这意味着攻击者有可能在未经授权的情况下访问存在漏洞的 Next.js 应用程序根目录下的页面,即使这些页面应该受到授权检查的保护。

考虑到 Next.js 的广泛使用,该漏洞的影响是巨大的。许多知名公司和组织的网络应用程序都依赖 Next.js,这可能会暴露敏感的用户数据和业务信息。

幸运的是,Next.js 团队已在 14.2.15 及更高版本中解决了 CVE-2024-51479 漏洞。强烈建议开发人员立即将其 Next.js 应用程序更新到最新版本。

对于使用 Vercel(创建 Next.js 的平台)的用户,无论 Next.js 版本如何,该漏洞都已被自动缓解。这为托管在 Vercel 上的应用程序提供了额外的安全保护。

Next.js团队感谢tyage负责任地披露了该漏洞,使他们能够在该漏洞被广泛利用之前解决该问题并发布补丁。

本文翻译自securityonline 原文链接。如若转载请注明出处。
商务合作,文章发布请联系 anquanke@360.cn

本文由安全客原创发布

转载,请参考转载声明,注明出处: /post/id/302879

安全客 - 有思想的安全新媒体

[来源: 安全客]

首页 / 计算机 / IT资讯
相关连接:
Prev:
0罗马尼亚国民因 NetWalker 勒索软件攻击被判处 20 年监禁
1Earth Koshchei 的流氓 RDP 活动 针对政府和企业的复杂 APT 攻击
2Meta 因 2018 年影响 2900 万账户的数据泄露事件被罚款 2.51 亿欧元
Next:
9CVE202451479 Next.js授权绕过漏洞影响数百万开发人员
7Meta 因 2018 年影响 2900 万账户的数据泄露事件被罚款 2.51 亿欧元
16Play 勒索软件声称 Krispy Kreme 泄露威胁数据泄露
11UAC0125 滥用 Cloudflare 工作者分发伪装成 Army+ 应用程序的恶意软件
5Earth Koshchei 的流氓 RDP 活动 针对政府和企业的复杂 APT 攻击
资源来自网络,仅供参考