CVE-2026-44578: Luka w Next.js umożliwiająca SSRF przez WebSocket
Next.js do wersji 15.5.16 i 16.2.5 ma lukę SSRF przez WebSocket. Aktualizuj i monitoruj serwery Node.js, aby zabezpieczyć aplikacje.
- CVSS
- 8.6 HIGH
- EPSS
- 98.4%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- next.js
Co wiadomo
Next.js w wersjach od 13.4.13 do przed 15.5.16 oraz 16.2.5 zawiera lukę umożliwiającą atak SSRF poprzez specjalnie spreparowane żądania WebSocket. Luka dotyczy samodzielnie hostowanych aplikacji korzystających z wbudowanego serwera Node.js i pozwala na przekierowanie żądań do dowolnych wewnętrznych lub zewnętrznych adresów.
Wpływ biznesowy
Atakujący może wykorzystać tę lukę do uzyskania dostępu do wewnętrznych usług lub metadanych chmurowych, co może prowadzić do wycieku danych lub dalszej eskalacji ataku. Wdrożenia hostowane przez Vercel nie są podatne. Organizacje korzystające z samodzielnego hostingu Next.js powinny pilnie zweryfikować swoje wersje i środowiska, aby uniknąć potencjalnych naruszeń bezpieczeństwa.
Rekomendowane działania administratora
Zaleca się aktualizację Next.js do wersji 15.5.16 lub 16.2.5, gdzie luka została załatana. Jeśli aktualizacja nie jest możliwa od razu, należy ograniczyć dostęp do serwera Node.js, monitorować logi pod kątem podejrzanych żądań WebSocket oraz przeglądnąć konfigurację sieci w celu minimalizacji ekspozycji wewnętrznych usług. Regularne przeglądy i testy bezpieczeństwa są wskazane.