漏洞标题
Next.js存在HTTP请求混杂漏洞
漏洞描述信息
Next.js是一个React框架,可以提供构建Web应用程序的模块。在13.5.1版本之前,对于精心构造的HTTP请求的解释不一致,导致Next.js将请求既视为单个请求,又视为两个独立的请求,从而导致响应不同步。这在受影响的Next.js版本中引发了响应队列中毒漏洞。对于可被利用的请求,受影响的路由还必须使用Next.js的[重写](https://nextjs.org/docs/app/api-reference/next-config-js/rewrites)功能。此漏洞已在Next.js的`13.5.1`及更高版本中得到解决。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H
漏洞类别
HTTP请求的解释不一致性(HTTP请求私运)
漏洞标题
Next.js Vulnerable to HTTP Request Smuggling
漏洞描述信息
Next.js is a React framework that can provide building blocks to create web applications. Prior to 13.5.1, an inconsistent interpretation of a crafted HTTP request meant that requests are treated as both a single request, and two separate requests by Next.js, leading to desynchronized responses. This led to a response queue poisoning vulnerability in the affected Next.js versions. For a request to be exploitable, the affected route also had to be making use of the [rewrites](https://nextjs.org/docs/app/api-reference/next-config-js/rewrites) feature in Next.js. The vulnerability is resolved in Next.js `13.5.1` and newer.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
漏洞类别
HTTP请求的解释不一致性(HTTP请求私运)
漏洞标题
ZEIT Next.js 环境问题漏洞
漏洞描述信息
ZEIT Next.js是ZEIT公司的一款基于Vue.js、Node.js、Webpack和Babel.js的开源Web应用框架。 ZEIT Next.js 13.4 版本至13.5.1之前版本存在环境问题漏洞,该漏洞源于存在响应队列中毒漏洞。
CVSS信息
N/A
漏洞类别
环境问题