next.jsのx-middleware-subrequest高危

2025年3月22日13

AI 翻訳

この記事はAIを通じて中国語から日本語に翻訳されました。原文を表示

AI が生成した要約

Next.jsに関する重大な脆弱性が発見されました。攻撃を緩和するためには、x-middleware-subrequestを無効にする必要があります。修正は5日前にコミットされましたが、CVEは昨日発表され、数日間放置されていたことになります。脆弱性の利用は簡単で、subrequestをtrueに設定することでロジックをバイパスできる可能性があります。著者はOpenAIがNext.jsからRemixに移行したことを示唆しています。

次のような高危険性の next.js を見ました。

https://github.com/vercel/next.js/security/advisories/GHSA-f82v-jwr5-mffw

曖昧（猥褻）にx-middleware-subrequestをブロックすることで攻撃を緩和できると書かれています。

脆弱性修正のコミット
https://github.com/vercel/next.js/commit/9704c8e9fcc58236349ed787903831579440a879

5 日前のコミットで、CVE は昨日発表されました。つまり、野外で数日間苦しんでいたということです。

利用は本当に簡単なようです。。。subrequest を true に設定するだけで、中間のロジックをバイパスできる？（あまり詳しく見ていませんが）

この件については、やはり openai が一枚上手で、すでに nextjs から remix に移行していると言わざるを得ません。ハハハハハ。