Sicherheitslücke in Next.js ermöglicht Umgehung von Autorisierung (CVE-2024-51479)
Table of Contents
Die Schwachstelle CVE-2024-51479 in Next.js, einem React-Framework für die Entwicklung von Full-Stack-Webanwendungen, ermöglicht die Umgehung von Autorisierungsmaßnahmen in bestimmten Szenarien. Betroffen sind Anwendungen, die Autorisierung basierend auf Pfadangaben in Middleware durchführen.
Die Lücke erlaubt es Angreifern, Middleware-basierte Autorisierung zu umgehen, wenn die angefragte Seite direkt im Stammverzeichnis der Anwendung liegt. Zum Beispiel:
- Nicht betroffen:
https://example.com/ - Betroffen:
https://example.com/foo - Nicht betroffen:
https://example.com/foo/bar
Die Schwachstelle wurde in Next.js ab Version 14.2.15 behoben. Anwendungen, die auf der Hosting-Plattform Vercel betrieben werden, sind unabhängig von der verwendeten Next.js-Version automatisch geschützt.
Empfohlene Maßnahmen
- Update: Aktualisieren Sie Ihre Next.js-Anwendung auf Version 14.2.15 oder höher.
- Hosting auf Vercel: Wenn Ihre Anwendung auf Vercel gehostet wird, ist die Schwachstelle automatisch mitigiert.
- Review der Autorisierungslogik: Überprüfen Sie Ihre Middleware und implementieren Sie zusätzliche Sicherheitskontrollen, um Autorisierungsumgehungen zu verhindern.