next.js的x-middleware-subrequest高危

2025年3月22日12

AI 翻譯

這篇文章透過AI由簡體中文翻譯成繁體中文。查看原文

AI 生成的摘要

最近發現了一個關於next.js的高危漏洞，詳細資訊可以參考GitHub的安全通告。該漏洞涉及到x-middleware-subrequest的設置，可能導致攻擊。修復此漏洞的提交在五天前已經完成，但相關的CVE公告卻是在昨天發布，顯示這個漏洞在野外存在了一段時間。利用這個漏洞似乎相對容易，只需將subrequest設置為true即可繞過中間邏輯。作者表示自己已經轉向使用remix，認為openai的技術更為高超。

看到一個 next.js 的高危。

https://github.com/vercel/next.js/security/advisories/GHSA-f82v-jwr5-mffw

隱晦（淫穢）地寫著阻止x-middleware-subrequest可以緩解攻擊

漏洞修復的 commit
https://github.com/vercel/next.js/commit/9704c8e9fcc58236349ed787903831579440a879

五天前的提交，cve 是昨天發的。意思是在野外苦苦待了好幾天。

利用好像真的很容易。。。subrequest 設置成 true，直接就把中間的邏輯 bypass 了？（沒有很仔細地看

這波我只能說，還是 openai 技高一籌，早就從 nextjs 換到了 remix 哈哈哈哈哈。