CVE-2024-51479
Authorization bypass in Next.js
Em resumo
Aplicações Next.js que usam middleware para autorização podem ter essa proteção desviada em páginas na raiz do site (como /foo), permitindo acesso não autorizado a conteúdo protegido.
Detalhe técnico
Falha de autorização no middleware Next.js onde validação de caminho é inadequada para rotas de um único nível na raiz do diretório. O vetor de ataque é requisição HTTP direta às rotas afetadas; a correção requer atualização para Next.js 14.2.15 ou posterior.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Next.js is a React framework for building full-stack web applications. In affected versions if a Next.js application is performing authorization in middleware based on pathname, it was possible for this authorization to be bypassed for pages directly under the application's root directory. For example: * [Not affected] `https://example.com/` * [Affected] `https://example.com/foo` * [Not affected] `https://example.com/foo/bar`. This issue is patched in Next.js `14.2.15` and later. If your Next.js application is hosted on Vercel, this vulnerability has been automatically mitigated, regardless of Next.js version. There are no official workarounds for this vulnerability.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Produtos afetados
vercel · next.jsQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →