PT-2024-6621 · Next.Js · Next.Js
Allam Rachid
+2
·
Publicado
2024-09-17
·
Atualizado
2026-03-05
·
CVE-2024-46982
CVSS v4.0
8.7
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do Next.js de 13.5.1 a 14.2.9
Descrição
O Next.js é um framework React para a criação de aplicações web full-stack. É possível enviar uma solicitação HTTP maliciosa para corromper o cache de uma rota renderizada no lado do servidor (não dinâmica) no roteador de páginas. Isso poderia forçar o Next.js a armazenar em cache uma rota que não deveria ser armazenada, enviando um cabeçalho
Cache-Control: s-maxage=1, stale-while-revalidate que alguns CDNs também podem armazenar em cache. A vulnerabilidade afeta implantações que utilizam o roteador de páginas e rotas renderizadas do lado do servidor não dinâmicas, como pages/dashboard.tsx (mas não pages/blog/[slug].tsx). Implantações que utilizam apenas o roteador de aplicativos ou no Vercel não são afetadas.Recomendações
Atualize para a versão 13.5.7 ou 14.2.10 do Next.js, ou posterior.
Exploit
Correção
DoS
IDOR
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Next.Js