CVE-2022-23646

Improper CSP in Image Optimization API for Next.js

CVSS 5.9 MEDIUMEPSS 1.8%CWE-451

En resumen

Next.js en versiones 10.0.0 a 12.0.x tiene una debilidad en su función de optimización de imágenes que permite eludir protecciones de seguridad (CSP) cuando se utilizan SVGs. Esto podría permitir que código malicioso se ejecute en los navegadores de los usuarios si el dominio de imágenes acepta SVGs cargados por usuarios.

Detalle técnico

Existe un bypass de Content Security Policy (CSP) en la API de Image Optimization de Next.js cuando `images.domains` está configurado con hosts que permiten carga de SVG proporcionado por usuarios y se utiliza el cargador de imágenes predeterminado. Un atacante puede crear contenido SVG malicioso que elude restricciones de CSP, potencialmente conduciendo a ataques de ejecución de script entre sitios (XSS). La mitigación requiere actualizar a la versión 12.1.0 o configurar un `loader` no predeterminado en `next.config.js`.

Resumen generado y traducido por IA a partir de la descripción oficial.

Next.js is a React framework. Starting with version 10.0.0 and prior to version 12.1.0, Next.js is vulnerable to User Interface (UI) Misrepresentation of Critical Information. In order to be affected, the `next.config.js` file must have an `images.domains` array assigned and the image host assigned in `images.domains` must allow user-provided SVG. If the `next.config.js` file has `images.loader` assigned to something other than default, the instance is not affected. Version 12.1.0 contains a patch for this issue. As a workaround, change `next.config.js` to use a different `loader configuration` other than the default.

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N

Productos afectados

vercel · next.js

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/vercel/next.js/pull/34075 https://github.com/vercel/next.js/releases/tag/v12.1.0 https://github.com/vercel/next.js/security/advisories/GHSA-fmvm-x8mv-47mj