XSS in Image Optimization API for Next.js versions between 10.0.0 and 11.1.0

Next.js versiones 10.0.0 a 11.0.0 permiten que atacantes inyecten código malicioso a través de imágenes SVG cuando la API de optimización de imágenes está configurada. Si un sitio permite que usuarios carguen o referencien archivos SVG desde dominios configurados, los atacantes pueden ejecutar JavaScript arbitrario en los navegadores de los visitantes.

Vulnerabilidad de cross-site scripting (XSS) en la API de Optimización de Imágenes de Next.js versiones 10.0.0–11.0.0. Requiere: (1) `images.domains` configurado en next.config.js, (2) dominio permitiendo SVGs proporcionados por usuarios, y (3) uso del cargador predeterminado (no cargador personalizado ni despliegue en Vercel). Payloads SVG en parámetros de imagen eluden sanitización, permitiendo ejecución de scripts arbitrarios.