Xdavidhu

**Name of the Vulnerable Software and Affected Versions** Next.js versions 16.0.1 through 16.1.6 **Description** Next.js, a React framework for building full-stack web applications, had a flaw in its development mode (`next dev`) where cross-site protection for internal websocket endpoints could incorrectly allow connections from contexts with a `Origin: null` header, even when `allowedDevOrigins` was configured. This could allow an attacker with access to attacker-controlled content to connect to the Hot Module Replacement (HMR) websocket channel and potentially interact with development websocket traffic. The issue only affects development mode. Applications without a configured `allowedDevOrigins` were also susceptible, allowing connections from any origin. The API endpoint `/ next/webpack-hmr` is involved in this issue. The `Origin` variable is a key factor in the vulnerability. **Recommendations** Next.js versions prior to 16.1.7 should be updated to version 16.1.7 or later to validate the `Origin: null` header using the same cross-site origin checks as other origins. If upgrading is not immediately possible, do not expose `next dev` to untrusted networks. As an additional measure, block websocket upgrades to the `/ next/webpack-hmr` endpoint when the `Origin` header is `null` at the proxy.

**Nome do software vulnerável e versões afetadas: Versões do iOS anteriores à 14.5 Versões do iPadOS anteriores à 14.5 Versões do watchOS anteriores à 7.4 Descrição: Foi corrigido um problema de validação por meio de uma melhor sanitização de entradas, o que permitia que um usuário local pudesse, potencialmente, gravar arquivos arbitrários. Recomendações: Para versões do iOS anteriores à 14.5, atualize para o iOS 14.5 ou posterior. Para versões do iPadOS anteriores à 14.5, atualize para o iPadOS 14.5 ou posterior. Para versões do watchOS anteriores à 7.4, atualize para o watchOS 7.4 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Safari anteriores à 14.1.1 Versões do tvOS anteriores à 14.6 Versões do iOS anteriores à 14.6 Versões do iPadOS anteriores à 14.6 Versões do macOS Big Sur anteriores à 11.4 Versões do watchOS anteriores à 7.5 **Descrição** O problema está relacionado a uma falha de lógica com restrições inadequadas, o que pode permitir que um site malicioso acesse portas restritas em servidores arbitrários. Isso poderia levar ao acesso não autorizado a dados confidenciais e à violação de sua integridade. **Recomendações** Para versões do Safari anteriores à 14.1.1, atualize para o Safari 14.1.1 ou posterior. Para versões do tvOS anteriores à 14.6, atualize para o tvOS 14.6 ou posterior. Para versões do iOS anteriores à 14.6, atualize para o iOS 14.6 ou posterior. Para versões do iPadOS anteriores à 14.6, atualize para o iPadOS 14.6 ou posterior. Para versões do macOS Big Sur anteriores à 11.4, atualize para o macOS Big Sur 11.4 ou posterior. Para versões do watchOS anteriores à 7.5, atualize para o watchOS 7.5 ou posterior.