In der Next.js-Bibliothek wurde eine kritische Sicherheitslücke (CVE-2024-46982) entdeckt, die Cache Poisoning ermöglicht. Betroffen sind Next.js-Versionen zwischen 13.5.1 und 14.2.9 bei Verwendung des Pages Routers mit nicht-dynamischen serverseitig gerenderten Routen. Durch manipulierte HTTP-Anfragen kann der Cache von Routen, die nicht gecached werden sollten, vergiftet werden, was auch Auswirkungen auf bestimmte Upstream-CDNs haben kann.
Nicht betroffen sind Deployments mit dem App Router und Deployments auf Vercel. Die Schwachstelle wurde in den Versionen 13.5.7 und 14.2.10 behoben. Nutzer sollten umgehend auf diese oder höhere Versionen aktualisieren. Offizielle Workarounds existieren nicht.
Weitere Details unter National Vulnerability Database.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: