Next.js Middleware Bypass

Mô tả

Tiếp theo.js chứa lỗ hổng phần mềm trung gian quan trọng ảnh hưởng đến các phiên bản 11.1.4 đến 15.2.2. Lỗ hổng cho phép những kẻ tấn công vượt qua các điều khiển bảo mật phần mềm trung gian bằng cách gửi một chế tạo đặc biệt Tiêu đề 'X-Middleware-SubRequest', có thể dẫn đến việc bỏ qua ủy quyền và vi phạm kiểm soát bảo mật khác.

Cách khắc phục

Nâng cấp lên Next.js 14.2.25 hoặc 15.2.3 trở lên. Nếu việc nâng cấp là không thể, hãy chặn tiêu đề X-Midderware-SubRequest ở cấp độ WAF hoặc máy chủ.

Trải nghiệm phiên bản Deep Scan

Giải phóng team DevOps khỏi những mối lo bảo mật để tập trung vào công việc phát triển sản phẩm..