CVE-2021-37699

Open Redirect in Next.js versions below 11.1.0

CVSS 6.9 MEDIUMEPSS 1.2%CWE-601

En resumen

Next.js en versiones anteriores a la 11.1.0 permite que atacantes creen URLs especialmente codificadas que redirigen usuarios a sitios web maliciosos externos cuando la página de error se genera estáticamente. Esto puede explotarse para ataques de phishing, haciendo que usuarios confíen en un redireccionamiento desde un dominio legítimo.

Detalle técnico

Vulnerabilidad de redirecionamiento abierto en páginas _error.js generadas estáticamente permite que atacantes eludan la validación de redirecionamiento mediante manipulación de rutas especialmente codificadas, posibilitando redirecionamiento a dominios controlados por el atacante. Requiere generación estática de la página de error y puede combinarse con ingeniería social para robo de credenciales.

Resumen generado y traducido por IA a partir de la descripción oficial.

Next.js is an open source website development framework to be used with the React library. In affected versions specially encoded paths could be used when pages/_error.js was statically generated allowing an open redirect to occur to an external site. In general, this redirect does not directly harm users although can allow for phishing attacks by redirecting to an attacker's domain from a trusted domain. We recommend everyone to upgrade regardless of whether you can reproduce the issue or not. The issue has been patched in release 11.1.0.

CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:L/A:N

Productos afectados

vercel · next.js

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/vercel/next.js/releases/tag/v11.1.0 https://github.com/vercel/next.js/security/advisories/GHSA-vxf5-wxwp-m7g9