[9]CVE202451479 Next.js授权绕过漏洞影响数百万开发人员-小百科

小百科,大世界
全球数百万开发人员使用的流行 React 框架 Next.js 最近披露了一个安全漏洞，该漏洞可能允许未经授权访问敏感的应用程序数据。该漏洞被追踪为 CVE-2024-51479，CVSS 得分为 7.5，由 IERAE 的 GMO Cybersecurity 的 tyage 发现。该漏洞影响 Next.js 9.5.5 至 14.2.14 版本。该漏洞源于 Next.js 中间件中的授权绕过问题。正如安全公告中所描述的，“如果 Next.js 应用程序在中间件中基于路径名执行授权，那么对于直接位于应用程序根目录下的页面，这种授权就有可能被绕过。” 从本质上讲，这意味着攻击者有可能在未经授权的情况下访问存在漏洞的 Next.js 应用程序根目录下的页面，即使这些页面应该受到授权检查的保护。考虑到 Next.js 的广泛使用，该漏洞的影响是巨大的。许多知名公司和组织的网络应用程序都依赖 Next.js，这可能会暴露敏感的用户数据和业务信息。幸运的是，Next.js 团队已在 14.2.15 及更高版本中解决了 CVE-2024-51479 漏洞。强烈建议开发人员立即将其 Next.js 应用程序更新到最新版本。对于使用 Vercel（创建 Next.js 的平台）的用户，无论 Next.js 版本如何，该漏洞都已被自动缓解。这为托管在 Vercel 上的应用程序提供了额外的安全保护。 Next.js团队感谢tyage负责任地披露了该漏洞，使他们能够在该漏洞被广泛利用之前解决该问题并发布补丁。本文翻译自securityonline 原文链接。如若转载请注明出处。商务合作，文章发布请联系 anquanke@360.cn 本文由安全客原创发布转载，请参考转载声明，注明出处： /post/id/302879 安全客 - 有思想的安全新媒体 [来源: 安全客]
首页 / 计算机 / IT资讯

全球数百万开发人员使用的流行 React 框架 Next.js 最近披露了一个安全漏洞，该漏洞可能允许未经授权访问敏感的应用程序数据。

该漏洞被追踪为 CVE-2024-51479，CVSS 得分为 7.5，由 IERAE 的 GMO Cybersecurity 的 tyage 发现。该漏洞影响 Next.js 9.5.5 至 14.2.14 版本。

该漏洞源于 Next.js 中间件中的授权绕过问题。正如安全公告中所描述的，“如果 Next.js 应用程序在中间件中基于路径名执行授权，那么对于直接位于应用程序根目录下的页面，这种授权就有可能被绕过。”

从本质上讲，这意味着攻击者有可能在未经授权的情况下访问存在漏洞的 Next.js 应用程序根目录下的页面，即使这些页面应该受到授权检查的保护。

考虑到 Next.js 的广泛使用，该漏洞的影响是巨大的。许多知名公司和组织的网络应用程序都依赖 Next.js，这可能会暴露敏感的用户数据和业务信息。

幸运的是，Next.js 团队已在 14.2.15 及更高版本中解决了 CVE-2024-51479 漏洞。强烈建议开发人员立即将其 Next.js 应用程序更新到最新版本。

对于使用 Vercel（创建 Next.js 的平台）的用户，无论 Next.js 版本如何，该漏洞都已被自动缓解。这为托管在 Vercel 上的应用程序提供了额外的安全保护。

Next.js团队感谢tyage负责任地披露了该漏洞，使他们能够在该漏洞被广泛利用之前解决该问题并发布补丁。

本文翻译自securityonline 原文链接。如若转载请注明出处。

商务合作，文章发布请联系 anquanke@360.cn

本文由安全客原创发布

转载，请参考转载声明，注明出处： /post/id/302879

安全客 - 有思想的安全新媒体

[来源: 安全客]

[9]CVE202451479 Next.js授权绕过漏洞影响数百万开发人员 繁體

[9]CVE202451479 Next.js授权绕过漏洞影响数百万开发人员 ^繁體