CVE-2026-44578

Nome do Software Vulnerável e Versões Afetadas Next.js versões 13.4.13 até 15.5.15 Next.js versões 16.0.0 até 16.2.4

Descrição Aplicações self-hosted que utilizam o servidor Node.js integrado estão sujeitas a server-side request forgery (SSRF), uma condição em que um invasor força um servidor a fazer requisições para um local não pretendido. Atacantes remotos não autenticados podem usar requisições HTTP de formulário absoluto manipuladas contendo cabeçalhos Upgrade: websocket para forçar o servidor a fazer o proxy de requisições para destinos internos ou externos arbitrários. Isso pode expor serviços internos, painéis de administração, APIs privadas e endpoints de metadados de nuvem (como 169.254.169.254), levando potencialmente ao roubo de credenciais de nuvem, chaves de API e segredos. Estima-se que aproximadamente 79.000 instâncias estejam expostas no Shodan. Implantações hospedadas no Vercel não são afetadas.

Recomendações Para as versões 13.4.13 até 15.5.15, atualize para a versão 15.5.16. Para as versões 16.0.0 até 16.2.4, atualize para a versão 16.2.5. Como solução temporária, bloqueie as atualizações de WebSocket no proxy reverso ou balanceador de carga, caso não sejam necessárias. Restrinja a saída de origem para redes internas e serviços de metadados sempre que possível. Evite expor o servidor de origem diretamente a redes não confiáveis.