Sicherheitslücke in Next.js ermöglicht Umgehung von Autorisierung (CVE-2024-51479)

Table of Contents

Die Schwachstelle CVE-2024-51479 in Next.js, einem React-Framework für die Entwicklung von Full-Stack-Webanwendungen, ermöglicht die Umgehung von Autorisierungsmaßnahmen in bestimmten Szenarien. Betroffen sind Anwendungen, die Autorisierung basierend auf Pfadangaben in Middleware durchführen.

Die Lücke erlaubt es Angreifern, Middleware-basierte Autorisierung zu umgehen, wenn die angefragte Seite direkt im Stammverzeichnis der Anwendung liegt. Zum Beispiel:

  • Nicht betroffen: https://example.com/
  • Betroffen: https://example.com/foo
  • Nicht betroffen: https://example.com/foo/bar

Die Schwachstelle wurde in Next.js ab Version 14.2.15 behoben. Anwendungen, die auf der Hosting-Plattform Vercel betrieben werden, sind unabhängig von der verwendeten Next.js-Version automatisch geschützt.

Empfohlene Maßnahmen

  • Update: Aktualisieren Sie Ihre Next.js-Anwendung auf Version 14.2.15 oder höher.
  • Hosting auf Vercel: Wenn Ihre Anwendung auf Vercel gehostet wird, ist die Schwachstelle automatisch mitigiert.
  • Review der Autorisierungslogik: Überprüfen Sie Ihre Middleware und implementieren Sie zusätzliche Sicherheitskontrollen, um Autorisierungsumgehungen zu verhindern.

Related Posts

Kritische Sicherheitslücke in Apache Struts 2: Remote Code Execution möglich (CVE-2024-53677)

Am 26. November 2024 wurde eine schwerwiegende Sicherheitslücke in Apache Struts 2 mit einer CVSS-Basisbewertung von 9,5 (CRITICAL) veröffentlicht. Diese Schwachstelle betrifft die Logik für Datei-Uploads und ermöglicht Angreifern, durch Pfad-Traversal schädliche Dateien hochzuladen und in der Folge Remote Code Execution (RCE) auszuführen. Die Schwachstelle wurde wie folgt bewertet: Vector: CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/S:N/AU:Y/R:A/V:C/RE:L/U:Red.

Read More

Kritische Sicherheitslücke in Fortinet FortiWLM entdeckt (CVE-2023-34990)

Eine kürzlich entdeckte Sicherheitslücke in Fortinet FortiWLM ermöglicht es Angreifern, unautorisierten Code oder Befehle auszuführen. Die Schwachstelle, identifiziert als CVE-2023-34990, betrifft die Versionen 8.6.0 bis 8.6.5 sowie 8.5.0 bis 8.5.4. Sie basiert auf einem Relative Path Traversal (CWE-23), der durch speziell gestaltete Webanfragen ausgenutzt werden kann.

Read More

Curl Sicherheitslücke CVE-2024-11053: Credential Leak bei netrc und Redirects

Am 11. Dezember 2024 wurde die Sicherheitslücke CVE-2024-11053 in curl bekannt, die sensible Anmeldeinformationen unter bestimmten Bedingungen preisgeben kann. Die Schwachstelle tritt auf, wenn curl sowohl eine .netrc-Datei für Anmeldedaten verwendet als auch HTTP-Redirects folgt. Dabei kann das Passwort des Ursprungs-Hosts unbeabsichtigt an den Ziel-Host weitergeleitet werden. Betroffen sind curl 6.5 bis einschließlich 8.11.0,

Read More