Next.js güvenlik açığı, saldırganların önbellek zehirlenmesi yoluyla DOS’u tetiklemesine izin verir

   Temmuz 4, 2025  Posted in GBHackers


CVE-2025-49826 olarak izlenen kritik bir güvenlik açığı, popüler React tabanlı web çerçevesinde keşfedildi ve ele alındı.

Sürümlerde bulunan kusur> = 15.1.0 ve <15.1.8, saldırganların Vercel tarafından yapılan bir rapora göre, etkilenen uygulamalar için bir hizmet reddi (DOS) koşuluna yol açan bir önbellek zehirlenme hatasını kullanmasına izin verdi.

CVE kimliği Etkilenen sürümler Şiddet Darbe Sabit
CVE-2025-49826 > = 15.1.0 <15.1.8 7.5 Önbellek zehirlenmesi yoluyla dos 15.1.8

Teknik detaylar

Güvenlik açığı, bazı önbellek senaryolarında HTTP 204 yanıtlarının yanlış ele alınmasından kaynaklandı.

Belirli koşullar altında, statik sayfalar için 204 içerik yanıtı önbelleğe alınamaz.

Önbelleğe alındıktan sonra, bu boş yanıt, etkilenen sayfaya erişmeye çalışan tüm kullanıcılara sunulacak ve içeriğin etkin bir şekilde erişilemeyeceği ve bir hizmet kesintisine neden olacak.

Güvenlik açığının sömürülebilir olması için aşağıdakilerin hepsi doğru olmalıdır:

  • Uygulama Next.js (> = 15.1.0, <15.1.8) 'nin etkilenen bir versiyonunu çalıştırıyordu.
  • Rota, bir sonraki başlangıç ​​veya bağımsız modda artımlı statik rejenerasyon (ISR) ile önbellek revalidasyonunu kullandı.
  • Rota sunucu tarafı oluşturma (SSR) kullandı ve 204 yanıtlarını önbelleğe almak üzere yapılandırılmış bir CDN’nin arkasındaydı.

Özellikle, Vercel’de barındırılan müşteriler bu konudan etkilenmedi.

Eğer sömürülürse, güvenlik açığı bir saldırganın önbelleği 204 yanıtla zehirlemesine izin verebilir.

Bu, sonraki tüm kullanıcıların boş yanıtı almasına ve etkilenen statik veya SSR sayfaları için bir hizmet reddetmesine neden olur. Sorun, yüksek ciddiyeti gösteren CVSS skoru 7.5 ile derecelendirildi.

Sonraki.js ekibi hızlı bir şekilde cevap verdi:

  • Önbellekte 204 yanıt ayarlayabilecek sorunlu kod yolunun kaldırılması.
  • Önbelleği doldurmak için paylaşılan bir yanıt nesnesine dayanarak bir yarış koşulunun ortadan kaldırılması.

Düzeltme 15.1.8 sürümünde yayınlandı. Bir sonraki.

Daha önceki büyük sürümlerde olanlar, 15.0.4 veya daha düşük olduklarından emin olmalıdır.

  • Next.js’i 15.1.8 veya üstüne sürümüne yükseltin.
  • Kritik yollar için 204 yanıtın önbelleğe alınmamasını sağlamak için CDN yapılandırmalarını gözden geçirin.
  • Uygulama günlüklerinde anormal HTTP 204 yanıtlarını izleyin.

Web uygulamalarını ortaya çıkan tehditlerden korumak için güvenlik güncellemeleriyle güncel kalmak esastır.

Özel Web Semineri Uyarısı: Gelişmiş API Güvenliği İçin Intel® İşlemci Yeniliklerini Koşullandırma – Ücretsiz Kayıt



Source link