Mô tả
Tiếp theo.js chứa lỗ hổng phần mềm trung gian quan trọng ảnh hưởng đến các phiên bản 11.1.4 đến 15.2.2.
Lỗ hổng cho phép những kẻ tấn công vượt qua các điều khiển bảo mật phần mềm trung gian bằng cách gửi một chế tạo đặc biệt
Tiêu đề 'X-Middleware-SubRequest', có thể dẫn đến việc bỏ qua ủy quyền và vi phạm kiểm soát bảo mật khác.
Cách khắc phục
Nâng cấp lên Next.js 14.2.25 hoặc 15.2.3 trở lên.
Nếu việc nâng cấp là không thể, hãy chặn tiêu đề X-Midderware-SubRequest ở cấp độ WAF hoặc máy chủ.