Die Schwachstelle CVE-2024-51479 in Next.js, einem React-Framework für die Entwicklung von Full-Stack-Webanwendungen, ermöglicht die Umgehung von Autorisierungsmaßnahmen in bestimmten Szenarien. Betroffen sind Anwendungen, die Autorisierung basierend auf Pfadangaben in Middleware durchführen.
Die Lücke erlaubt es Angreifern, Middleware-basierte Autorisierung zu umgehen, wenn die angefragte Seite direkt im Stammverzeichnis der Anwendung liegt. Zum Beispiel:
- Nicht betroffen:
https://example.com/ - Betroffen:
https://example.com/foo - Nicht betroffen:
https://example.com/foo/bar
Die Schwachstelle wurde in Next.js ab Version 14.2.15 behoben. Anwendungen, die auf der Hosting-Plattform Vercel betrieben werden, sind unabhängig von der verwendeten Next.js-Version automatisch geschützt.
Empfohlene Maßnahmen
- Update: Aktualisieren Sie Ihre Next.js-Anwendung auf Version 14.2.15 oder höher.
- Hosting auf Vercel: Wenn Ihre Anwendung auf Vercel gehostet wird, ist die Schwachstelle automatisch mitigiert.
- Review der Autorisierungslogik: Überprüfen Sie Ihre Middleware und implementieren Sie zusätzliche Sicherheitskontrollen, um Autorisierungsumgehungen zu verhindern.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: