PT-2021-23945 · Vercel · Next.Js

Timneutkens

·

Publicado

2021-12-07

·

Atualizado

2026-05-18

·

CVE-2021-43803

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
**Nome do software vulnerável e versões afetadas:
Versões do Next.js anteriores à 12.0.5
Versões do Next.js anteriores à 11.1.3
Descrição:
O problema surge quando URLs inválidas ou malformadas são processadas, podendo levar a uma falha do servidor. Isso pode ocorrer em implantações que utilizam versões do Next.js acima da 11.1.0 e abaixo da 12.0.5, Node.js acima da 15.0.0, e next start ou um servidor personalizado. No entanto, implantações no Vercel e em ambientes semelhantes, onde solicitações inválidas são filtradas antes de chegarem ao Next.js, não são afetadas.
Recomendações:
Para versões do Next.js anteriores à 12.0.5, atualize para a versão 12.0.5 ou posterior para resolver o problema.
Para versões do Next.js anteriores à 11.1.3, atualize para a versão 11.1.3 ou posterior para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso ao servidor ou implementar filtragem para solicitações inválidas a fim de minimizar o risco de exploração.

Correção

RCE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-20

Identificadores relacionados

CLEANSTART-2026-BD71263
CLEANSTART-2026-IS74202
CLEANSTART-2026-JR35772
CLEANSTART-2026-JY06700
CLEANSTART-2026-KN34553
CLEANSTART-2026-KZ45320
CLEANSTART-2026-LJ44720
CLEANSTART-2026-LN12820
CLEANSTART-2026-TX00223
CLEANSTART-2026-WI75198
CVE-2021-43803
GHSA-25MP-G6FV-MQXX

Produtos afetados

Next.Js