Next.js: Server-side request forgery in applications using WebSocket upgrades

Las aplicaciones Next.js que utilizan actualizaciones de WebSocket pueden ser engañadas para realizar solicitudes a servidores internos o externos que no deberían acceder, exponiendo potencialmente servicios internos sensibles o metadatos en la nube. Esto solo afecta a implementaciones auto-hospedadas, no a las alojadas en Vercel.

Vulnerabilidad de falsificación de solicitud del lado del servidor (SSRF) en Next.js versiones 13.4.13 hasta 15.5.15 y 16.0.0 hasta 16.2.4 cuando se utiliza el servidor Node.js integrado. Los atacantes pueden crear solicitudes maliciosas de actualización de WebSocket para forzar al servidor a hacer proxy de solicitudes HTTP/HTTPS a destinos arbitrarios, eludiendo controles de acceso de red y potencialmente recuperando respuestas de servicios internos o metadatos sensibles.