Key Takeaways
1. Next.js versions 15.1.0-15.1.8 have a cache poisoning bug causing DoS attacks through blank page delivery.
2. Needs affected Next.js version + ISR with cache revalidation + SSR with CDN caching 204 responses.
3. Race condition allows HTTP 204 responses to be cached for static pages, serving empty content to all users.
4. Update to Next.js 15.1.8+ immediately - the vulnerability is fully patched.
CVE-2025-49826 olarak tanımlanan kritik bir güvenlik açığı, next’de keşfedilmiştir.JS, Popüler React tabanlı web çerçevesi, saldırganların hizmet reddi (DOS) koşullarını tetiklemek için önbellek zehirlenme mekanizmalarını kullanmasına izin veriyor.
Güvenlik araştırmacıları Allam Rachid (Zhero) ve Allam Yasser (Inzo_) tarafından bildirilen güvenlik açığı, 15.1.0 ila 15.1.8 arasında değişen bir sonraki.JS sürümlerini etkiler ve geliştirme ekibinden anında güvenlik güncellemeleri başlatır.
Next.js DOS Güvenlik Açığı
Güvenlik açığı, çerçevenin yanıt önbellekleme mekanizmasını manipüle eden ve özellikle statik sayfa oluşturma işleminde HTTP 204 yanıtlarını hedefleyen bir önbellek zehirlenmesi hatasından kaynaklanmaktadır.
Belirli koşullar altında, kusur kötü niyetli aktörlerin önbellekleri boş yanıtlarla zehirlemesine izin vererek meşru kullanıcıların uygun içerik yerine boş sayfalar almasına neden olur.
Güvenlik açığının kullanılabilir olması için üç kritik koşul aynı anda karşılanmalıdır: etkilenen bir sonraki. Yanıtlar.
Saldırı vektörü, Çerçevenin yanlış işlediği ve önbellekleri HTTP 204 durum kodlarını yanlış işlediği ve burada paylaşılan yanıt nesne mekanizması içinde bir yarış koşulundan yararlanır.
Başarılı bir şekilde yürütüldüğünde, bu önbellek zehirlenmesi tekniği, önbelleğe alınan boş yanıt, etkilenen statik sayfalara erişmeye çalışan sonraki tüm kullanıcılara sunulduğundan, kalıcı DOS koşullarıyla sonuçlanır.
Güvenlik açığının etkisi, performans optimizasyonu için ISR’ye dayanan yüksek trafikli uygulamalar için özellikle şiddetlidir.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | Next.js sürümleri ≥15.1.0 <15.1.8 |
| Darbe | Hizmet Reddetme (DOS) Durumuna yol açan önbellek zehirlenmesi |
| Önkoşuldan istismar | 1. Etkilenen Next.JS sürümünü (≥15.1.0 <15.1.8) 2. ISR (Sonraki Başlangıç veya Bağımsız Mod) ile önbellek revalidasyonunu kullanarak rota. 204 yanıtları önbelleğe göre yapılandırılmış CDN ile SSR kullanarak rota |
| CVSS 3.1 puanı | 7.5 (yüksek) |
İyileştirme
Next.js geliştirme ekibi, önbellek zehirlenme mekanizmasının temel nedenini hedefleyen kapsamlı kod değişiklikleri yoluyla güvenlik açığını ele almıştır.
Birincil düzeltme, statik sayfa oluşturma boru hattında yanlış 204 yanıtlarının ayarlanmasından sorumlu sorunlu kod yolunun kaldırılmasını içeriyordu.
Ek olarak, geliştiriciler, bir sonraki.js yanıt önbelleğini doldurmak için paylaşılan yanıt nesnelerine güvenmeyecek şekilde yanıt önbelleğe alma mimarisini yeniden yapılandırarak yarış durumunu ortadan kaldırdı.
Güvenlik uzmanları, CVE-2025-49826 için tam çözünürlüğü içeren 15.1.8 veya üstü sürüm 15.1.8 veya üstüne derhal geçiş önerir.
Etkilenen sürümleri kullanan kuruluşlar, bağımlılıklarının güncellenmesine öncelik vermeli ve ISR ve SSR uygulamalarının kapsamlı testlerini yapmalıdır.
Özellikle, Vercel’in platformunda barındırılan uygulamalar, bu özel saldırı vektörünü önleyen platformun altyapı tasarımı nedeniyle etkilenmez.
Geliştirme ekipleri, özellikle önbellek davranışı anormalliklerine ve devam eden sömürü girişimlerini gösterebilecek beklenmedik 204 yanıt kalıplarına odaklanan bir sonraki.JS uygulamaları için kapsamlı güvenlik izleme uygulamalıdır.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi