CVE-2024-51479

Versões do Next.js anteriores à 14.2.15

O problema está relacionado à contornamento da autorização em aplicações Next.js quando a autorização é realizada em middleware com base no nome do caminho. Isso permite que invasores contornem as verificações de segurança para páginas localizadas diretamente no diretório raiz da aplicação. Por exemplo, https://example.com/foo é afetado, enquanto https://example.com/ e https://example.com/foo/bar não são. A vulnerabilidade afeta milhões de desenvolvedores e foi automaticamente mitigada para aplicativos hospedados no Vercel, independentemente da versão do Next.js. Não há soluções alternativas oficiais para esta vulnerabilidade.

Para versões do Next.js anteriores à 14.2.15, atualize para a versão 14.2.15 ou posterior para resolver o problema. Se sua aplicação Next.js estiver hospedada no Vercel, nenhuma ação é necessária, pois a vulnerabilidade foi automaticamente mitigada. Como solução alternativa temporária, considere restringir o acesso a páginas confidenciais ou desativar a autorização baseada em middleware até que um patch seja aplicado.