Sicherheitslücke in Next.js: Cache Poisoning möglich

In der Next.js-Bibliothek wurde eine kritische Sicherheitslücke (CVE-2024-46982) entdeckt, die Cache Poisoning ermöglicht. Betroffen sind Next.js-Versionen zwischen 13.5.1 und 14.2.9 bei Verwendung des Pages Routers mit nicht-dynamischen serverseitig gerenderten Routen. Durch manipulierte HTTP-Anfragen kann der Cache von Routen, die nicht gecached werden sollten, vergiftet werden, was auch Auswirkungen auf bestimmte Upstream-CDNs haben kann.

Nicht betroffen sind Deployments mit dem App Router und Deployments auf Vercel. Die Schwachstelle wurde in den Versionen 13.5.7 und 14.2.10 behoben. Nutzer sollten umgehend auf diese oder höhere Versionen aktualisieren. Offizielle Workarounds existieren nicht.

Weitere Details unter National Vulnerability Database.

Related Posts

Datenleck bei Check24 und Verivox: Kreditkunden Daten waren im Netz aufrufbar

Am 17. September 2024 berichtete Correctiv von gravierenden Datenlecks bei den Vergleichsportalen Check24 und Verivox, die zu einem unautorisierten Zugriff auf sensible Kundendaten führten. Millionen von Menschen könnten betroffen sein, da Namen, Adressen, Einkommensinformationen und weitere private Daten leicht zugänglich waren. Besonders im Bereich der Kreditvermittlung waren diese Daten durch Sicherheitslücken abrufbar.

Read More

Path Traversal-Schwachstelle in Spring Web Frameworks entdeckt

Am 12. September 2024 wurde eine Path Traversal-Schwachstelle (CVE-2024-38816) in den funktionalen Web-Frameworks WebMvc.fn und WebFlux.fn entdeckt. Anwendungen, die statische Ressourcen über diese Frameworks bereitstellen, sind anfällig für Angriffe, bei denen Angreifer Zugriff auf Dateien des Dateisystems erhalten können. Dies betrifft Anwendungen, die RouterFunctions mit einem FileSystemResource-Standort verwenden.

Read More

Kritische Sicherheitslücken in Adobe Acrobat und Reader

Adobe hat am 10. September 2024 ein Sicherheitsupdate für Acrobat und Reader veröffentlicht, um kritische Schwachstellen zu beheben. Die Sicherheitslücke CVE-2024-41869 betrifft eine Use After Free (CWE-416)-Schwachstelle, die zu beliebigem Codeausführung führen kann. Der CVSS-Wert beträgt 9.8 (kritisch). Betroffen sind Versionen auf Windows und macOS.

Read More