CVE-2020-15242

Open Redirect in Next.js

CVSS 4.7 MEDIUMEPSS 0.8%CWE-601

En resumen

Las versiones 9.5.0 a 9.5.3 de Next.js tienen una falla que permite que atacantes redirijan usuarios a sitios web externos mediante rutas de URL especialmente codificadas. Aunque el redirecionamiento en sí no causa daño directo, puede usarse para ataques de phishing engañando a usuarios para visitar sitios maliciosos.

Detalle técnico

Existe una vulnerabilidad de redirecionamiento abierto en el manejo del redirecionamiento con barra final de Next.js donde rutas especialmente codificadas eluden validaciones y redirigen a dominios externos controlados por el atacante. El ataque requiere solo una URL manipulada y afecta versiones 9.5.0 hasta 9.5.3, permitiendo robo de credenciales y campañas de phishing a través de redirecionamientos desde dominios confiables.

Resumen generado y traducido por IA a partir de la descripción oficial.

Next.js versions >=9.5.0 and <9.5.4 are vulnerable to an Open Redirect. Specially encoded paths could be used with the trailing slash redirect to allow an open redirect to occur to an external site. In general, this redirect does not directly harm users although can allow for phishing attacks by redirecting to an attackers domain from a trusted domain. The issue is fixed in version 9.5.4.

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:N/A:N

Productos afectados

vercel · next.js

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/vercel/next.js/security/advisories/GHSA-x56p-c8cg-q435 https://github.com/zeit/next.js/releases/tag/v9.5.4