Popüler web çerçevesi Next.js’de, saldırganların belirli koşullar altında kimlik doğrulamayı atlamasına olanak tanıyan yüksek önem derecesine sahip bir güvenlik açığı keşfedildi.
CVE-2024-51479 olarak kataloglanan sorun, 9.5.5’ten 14.2.14’e kadar olan sürümleri etkiliyor. Bu sürümleri kullanan geliştiricilerin, uygulamalarını güvence altına almak için hızlı bir şekilde yamalı sürüm 14.2.15’e yükseltmeleri gerekmektedir.
Next.js’de Yetkilendirmeyi Atlama (CVE-2024-51479)
Güvenlik açığı, Next.js’nin ara yazılımdaki yol adı kurallarına dayalı yetkilendirme kontrollerini işleme biçimindeki bir kusurdan kaynaklanıyor.
Bir uygulama, erişim kontrolünü uygulamak için yol adı tabanlı ara katman yazılımına güveniyorsa, bazı yolları yanlışlıkla yetkisiz erişime maruz bırakabilir.
API güvenlik açığı ve Sızma Testi için En İyi Uygulamalar Konulu Ücretsiz Web Semineri: Ücretsiz Kayıt
Özellikle, doğrudan uygulamanın kök dizini altındaki rotalar, atlanmaya karşı savunmasızdır.
Örneğin, https://example.com/ gibi kök yol etkilenmeden kalırken, https://example.com/foo gibi bir rota kullanılabilirken, https://example.com/foo gibi daha derin iç içe geçmiş rotalar kullanılabilir. /bar etkilenmez.
Bu güvenlik açığı, etkilenen rotalardaki hassas verileri veya hizmetleri yöneten uygulamalar için önemli bir risk oluşturmaktadır.
Suistimal, kullanıcı etkileşimi, kimlik bilgileri veya yükseltilmiş ayrıcalıklar gerektirmez; bu da onu ağ üzerinden çalışan saldırganlar için çekici bir hedef haline getirir.
Güvenlik açığı, CVSS v3 puanı 7,5 ile yüksek önem derecesi olarak derecelendirilmiştir. Güvenlik açığından yararlanılması gizliliği tehlikeye atıyor ve verilere yetkisiz erişim öncelikli sorundur.
Ancak uygulamanın bütünlüğünü veya kullanılabilirliğini etkilemez. Saldırı karmaşıklığının düşük olması, yürütülmesi için özel ayrıcalıklar veya kullanıcı etkileşimi gerektirmediğinden riski daha da artırır.
Yamalar ve Azaltma
Next.js ekibi bu sorunu 14.2.15 sürümünde ele aldı. Bu sürüme güncelleme, doğrudan kök dizinin altındakiler de dahil olmak üzere tüm rotalar için uygun yetkilendirme kontrollerinin yapılmasını sağlayarak güvenlik açığını ortadan kaldırır.
Vercel’de barındırılan uygulamalar için bu güvenlik açığı, kullanılan Next.js sürümünden bağımsız olarak zaten otomatik olarak azaltılmıştır.
Ancak, kendi kendine barındırılan veya özel dağıtımlar çalıştıran geliştiricilerin, kötüye kullanımı önlemek için projelerini acilen yamalı sürüme güncellemeleri gerekir.
Bu güvenlik açığına yönelik resmi bir geçici çözüm mevcut değildir. En etkili eylem, Next.js’nin 14.2.15 veya sonraki bir sürümüne hemen güncelleme yapmaktır.
Geliştiricilerin ayrıca, sağlam güvenlik önlemlerinin alındığından emin olmak için ara yazılımlarını ve rota koruma stratejilerini gözden geçirmeleri teşvik edilir.
Güvenlik denetimleri ve erişim günlüklerinin izlenmesi, özellikle daha önce açığa çıkmış olabilecek rotalar için her türlü yetkisiz etkinliğin tespit edilmesine yardımcı olabilir.
Güvenlik açığı, IERAE’nin GMO CyberSecurity şirketinden güvenlik araştırmacısı Tyage tarafından sorumlu bir şekilde açıklandı. Next.js ekibi, bu sorunun zamanında ve sorumlu bir şekilde rapor edilmesinden dolayı minnettarlığını ifade etti.
Next.js ekibi tarafından yayınlanan ve güvenli bir geliştirme ortamı sürdürme konusundaki kararlılıklarını vurgulayan resmi tavsiyelerde daha fazla ayrıntı mevcuttur.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin