XSS de 0-clique no Next.js

Um novo caso de zhero e inzo_ mostra como o manejo inadequado de cabeçalhos HTTP pode transformar uma resposta segura do servidor em um XSS de 0-clique.

A aplicação usava o App Router. Quando uma requisição continha o cabeçalho Rsc: 1, o Next.js retornava uma resposta RSC com Content-Type: text/x-component, ou seja, dados destinados ao React em vez de renderização direta pelo navegador.

O problema era que a aplicação copiava certos cabeçalhos controlados pelo usuário para sua resposta. Isso permitia que um atacante influenciasse o Content-Type resultante e fizesse o servidor retornar uma resposta RSC como text/html em vez de text/x-component.

Como resultado, o navegador analisava o payload RSC como uma página HTML regular. Como o payload continha dados refletidos dos parâmetros da URL, markup controlado pelo atacante poderia ser interpretado e executado, levando a XSS.

Os pesquisadores então combinaram esse comportamento com envenenamento de cache, tornando a resposta maliciosa disponível para outros usuários e transformando o problema em um XSS armazenado de 0-clique.

📎 Source: https://zhero-web-sec.github.io/research-and-things/re-cache-excessive-reflection-type-confusion-and-0-click-sxss-on-nextjs