一、基本情况
Next.js是一个构建于Node.js之上的开源Web开发框架,支持基于React的Web应用程序功能,提供了服务器渲染、静态站点生成、路由、优化等高级功能,使得能够快速构建现代 web 应用。
二、漏洞描述
Next.js中修复了一个服务器端请求伪造漏洞(CVE-2024-34351),其CVSS评分为7.5,目前该漏洞的细节及PoC已在互联网上公开。
Next.js 13.4.0 - 14.1.1之前版本中存在服务器端请求伪造 (SSRF) 漏洞,当Next.js应用程序使用Server Actions执行重定向操作将用户或客户端请求重定向到以/开头的相对路径时,威胁者可通过指定自定义Host标头导致Next.js从该主机获取响应,从而导致SSRF,成功利用该漏洞可能导致内部网络信息泄露。
三、影响范围
13.4.0 <= Next.js < 14.1.1
四、修复建议
目前该漏洞已经修复,受影响用户可更新到Next.js 14.1.1或更高版本。
