【外评】在 NextJS 框架中发现严重 SSRF 漏洞

在流行的 NextJS 框架中发现了一个严重的服务器端请求伪造 (SSRF) 漏洞，该框架是构建现代网络应用程序的一种广泛采用的解决方案。

Assetnote 的安全研究人员发现了这个名为 CVE-2024-34351 的漏洞，并在 NextJS 14.1.1 版本中打上了补丁。

NextJS 以其简洁性和强大的服务器端渲染功能而闻名，近年来在开发人员中获得了极大的关注。然而，这个新发现的漏洞凸显了全面安全测试的重要性，即使是通常被认为比传统内容管理系统（CMS）更安全的现代框架也不例外。

SSRF 漏洞源于 NextJS 的内置图片优化组件，该组件允许开发人员从不同域提供图片。通过白名单特定域或甚至允许所有 URL，开发人员无意中使他们的应用程序暴露在盲 SSRF 攻击之下。攻击者可以通过伪造对内部 URL 的请求来利用这一漏洞，从而在未经授权的情况下访问敏感信息。

此外，研究人员还发现，该漏洞在某些条件下可以升级。如果 NextJS 版本过时或启用了 “dangerouslyAllowSVG “选项，攻击者就有可能通过 SSRF 实现跨站脚本 (XSS) 或泄漏 XML 响应的全部内容。

该漏洞还扩展到 NextJS 的服务器端功能，特别是其服务器动作功能。通过伪造指向内部主机的 Host 标头，攻击者可以诱骗 NextJS 从该主机而非目标应用程序获取响应，从而导致 SSRF 漏洞。

为降低风险，建议开发人员将其 NextJS 安装更新到 14.1.1 或更高版本。

此外，至关重要的是要仔细审查和限制图像优化白名单中的域，并确保在没有绝对必要的情况下禁用 “dangerouslyAllowSVG “选项。

除了 SSRF 漏洞，Next.js 团队还修复了一个高严重性漏洞 CVE-2024-34350，该漏洞的 CVSS 得分为 7.5。

这个安全问题源于 Next.js 对 HTTP 请求的不一致处理，即恶意伪造的请求会被解释为一个请求和两个并发的请求。

该漏洞特别影响到 Next.js 中使用重写功能的路由，有可能导致不同步响应，并为响应队列中毒打开大门。

Next.js 应用程序中 HTTP 请求走私漏洞的发现归功于安全研究员 elifoster-block，是他将这一问题公之于众。

你也许感兴趣的：