PT-2024-25807 · Next.Js · Next.Js
Elifoster-Block
·
Publicado
2024-05-09
·
Atualizado
2024-05-18
·
CVE-2024-34350
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do Next.js anteriores à 13.5.1
Descrição
O problema decorre de uma interpretação inconsistente de solicitações HTTP maliciosas, levando a respostas dessincronizadas e a uma vulnerabilidade de envenenamento da fila de respostas. Isso ocorre quando a rota afetada utiliza o recurso
rewrites no Next.js.Recomendações
Para versões anteriores à 13.5.1, atualize para a versão 13.5.1 do Next.js ou mais recente, o que inclui o Next.js 14.x, para resolver a vulnerabilidade. Como solução temporária, considere evitar o uso do recurso
rewrites no Next.js até que o problema seja resolvido.Exploit
Correção
HTTP Request/Response Smuggling
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Next.Js