Sicherheitslücke in Next.js: Cache Poisoning möglich
In der Next.js-Bibliothek wurde eine kritische Sicherheitslücke (CVE-2024-46982) entdeckt, die Cache Poisoning ermöglicht. Betroffen sind Next.js-Versionen zwischen 13.5.1 und 14.2.9 bei Verwendung des Pages Routers mit nicht-dynamischen serverseitig gerenderten Routen. Durch manipulierte HTTP-Anfragen kann der Cache von Routen, die nicht gecached werden sollten, vergiftet werden, was auch Auswirkungen auf bestimmte Upstream-CDNs haben kann.
Nicht betroffen sind Deployments mit dem App Router und Deployments auf Vercel. Die Schwachstelle wurde in den Versionen 13.5.7 und 14.2.10 behoben. Nutzer sollten umgehend auf diese oder höhere Versionen aktualisieren. Offizielle Workarounds existieren nicht.
Weitere Details unter National Vulnerability Database.