← voltar
CVE-2026-44578

Next.js: Server-side request forgery in applications using WebSocket upgrades

CVSS 8.6 HIGHEPSS 37.8%CWE-918
Em resumo

Aplicações Next.js que usam atualizações de WebSocket podem ser enganadas para fazer requisições a servidores internos ou externos que não deveriam acessar, potencialmente expondo serviços internos sensíveis ou metadados de nuvem. Isso afeta apenas implementações auto-hospedadas, não as no Vercel.

Detalhe técnico

Vulnerabilidade de falsificação de requisição do lado do servidor (SSRF) em Next.js versões 13.4.13 até 15.5.15 e 16.0.0 até 16.2.4 ao usar o servidor Node.js integrado. Atacantes podem criar requisições maliciosas de atualização de WebSocket para forçar o servidor a fazer proxy de requisições HTTP/HTTPS para destinos arbitrários, contornando controles de acesso à rede e potencialmente recuperando respostas de serviços internos ou metadados sensíveis.

Resumo gerado e traduzido por IA a partir da descrição oficial.
Next.js is a React framework for building full-stack web applications. From 13.4.13 to before 15.5.16 and 16.2.5, self-hosted applications using the built-in Node.js server can be vulnerable to server-side request forgery through crafted WebSocket upgrade requests. An attacker can cause the server to proxy requests to arbitrary internal or external destinations, which may expose internal services or cloud metadata endpoints. Vercel-hosted deployments are not affected. This vulnerability is fixed in 15.5.16 and 16.2.5.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N
Produtos afetados
vercel · next.js
PoCs públicas encontradas8
githubgithub.com/ynsmroztas/nextssrf75githubgithub.com/dinosn/CVE-2026-445787githubgithub.com/love07oj/nextjs-cve-2026-445785githubgithub.com/GadaLuBau1337/CVE-2026-445781githubgithub.com/tocong282/CVE-2026-44578-PoC0githubgithub.com/0xBlackash/CVE-2026-445780githubgithub.com/BS2010-AirborneTroops/NEXT-SSRF0githubgithub.com/panchocosil/verify-ghsa-c4j6-fc7j-m34r0
⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://github.com/vercel/next.js/security/advisories/GHSA-c4j6-fc7j-m34r