小百科,大世界 |
---|
首页 / 计算机 / IT资讯 |
[3]CVE202451479 Next.js授权绕过漏洞影响数百万开发人员 繁體 |
|
全球数百万开发人员使用的流行 React 框架 Next.js 最近披露了一个安全漏洞,该漏洞可能允许未经授权访问敏感的应用程序数据。 该漏洞被追踪为 CVE-2024-51479,CVSS 得分为 7.5,由 IERAE 的 GMO Cybersecurity 的 tyage 发现。该漏洞影响 Next.js 9.5.5 至 14.2.14 版本。 该漏洞源于 Next.js 中间件中的授权绕过问题。正如安全公告中所描述的,“如果 Next.js 应用程序在中间件中基于路径名执行授权,那么对于直接位于应用程序根目录下的页面,这种授权就有可能被绕过。” 从本质上讲,这意味着攻击者有可能在未经授权的情况下访问存在漏洞的 Next.js 应用程序根目录下的页面,即使这些页面应该受到授权检查的保护。 考虑到 Next.js 的广泛使用,该漏洞的影响是巨大的。许多知名公司和组织的网络应用程序都依赖 Next.js,这可能会暴露敏感的用户数据和业务信息。 幸运的是,Next.js 团队已在 14.2.15 及更高版本中解决了 CVE-2024-51479 漏洞。强烈建议开发人员立即将其 Next.js 应用程序更新到最新版本。 对于使用 Vercel(创建 Next.js 的平台)的用户,无论 Next.js 版本如何,该漏洞都已被自动缓解。这为托管在 Vercel 上的应用程序提供了额外的安全保护。 Next.js团队感谢tyage负责任地披露了该漏洞,使他们能够在该漏洞被广泛利用之前解决该问题并发布补丁。
本文翻译自securityonline 原文链接。如若转载请注明出处。
商务合作,文章发布请联系 anquanke@360.cn
本文由安全客原创发布 转载,请参考转载声明,注明出处: /post/id/302879 安全客 - 有思想的安全新媒体 [来源: 安全客] |
首页 / 计算机 / IT资讯 |
资源来自网络,仅供参考 |