PT-2020-14307 · Vercel · Next.Js
Timneutkens
·
Publicado
2020-10-08
·
Atualizado
2020-12-03
·
CVE-2020-15242
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões 9.5.0 a 9.5.3 do Next.js
Descrição
A vulnerabilidade permite um redirecionamento aberto, em que caminhos especialmente codificados podem ser usados com o redirecionamento por barra final para permitir que ocorra um redirecionamento aberto para um site externo. Esse redirecionamento não prejudica diretamente os usuários, embora possa permitir ataques de phishing ao redirecionar de um domínio confiável para o domínio de um invasor.
Recomendações
Para as versões 9.5.0 a 9.5.3 do Next.js, atualize para a versão 9.5.4 para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso a caminhos especialmente codificados para minimizar o risco de exploração.
Correção
Open Redirect
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Next.Js