NextJS 框架中发现严重 SSRF 漏洞
Assetnote 的安全研究人员在 NextJS 框架中发现了一个严重的服务器端请求伪造 (SSRF) 漏洞,编号为 CVE-2024-34351。目前该漏洞已在NextJS 版本 14.1.1 中进行了修补。 根据介绍,SSRF 漏洞源于 NextJS 内置的图像优化组件,该组件允许开发人员提供来自不同域的图像。通过将特定域列入白名单甚至允许所有 URL,开发人员会无意中将其应用程序暴露于盲目的 SSRF 攻击。攻击者可以通过构造对内部 URL 的请求来利用此漏洞,从而可能获得对敏感信息的未经授权的访问。 此外,研究人员发现该漏洞在某些条件下可能会升级。如果 NextJS 版本已过时或启用了"dangerouslyAllowSVG"选项,攻击者可能会实现跨站点脚本 (XSS) 或通过 SSRF 泄露 XML 响应的完整内容。 该漏洞还扩展到 NextJS 的服务器端功能,特别是其 Server Actions 功能。通过伪造指向内部主机的 Host header,攻击者可以诱骗 NextJS 从该主机而非目标应用程序获取响应,从而导致 SSRF 漏洞。 为了降低风险,建议开发人员将...
