CVE-2026-44578: Luka w Next.js umożliwiająca SSRF przez WebSocket

Next.js do wersji 15.5.16 i 16.2.5 ma lukę SSRF przez WebSocket. Aktualizuj i monitoruj serwery Node.js, aby zabezpieczyć aplikacje.
CVE-2026-44578CVSS 8.6Runtime

CVE-2026-44578: Luka w Next.js umożliwiająca SSRF przez WebSocket

Next.js do wersji 15.5.16 i 16.2.5 ma lukę SSRF przez WebSocket. Aktualizuj i monitoruj serwery Node.js, aby zabezpieczyć aplikacje.

CVSS
8.6 HIGH
EPSS
98.4%
Aktywnie wykorzystywana
brak w KEV
Produkt
next.js

Co wiadomo

Next.js w wersjach od 13.4.13 do przed 15.5.16 oraz 16.2.5 zawiera lukę umożliwiającą atak SSRF poprzez specjalnie spreparowane żądania WebSocket. Luka dotyczy samodzielnie hostowanych aplikacji korzystających z wbudowanego serwera Node.js i pozwala na przekierowanie żądań do dowolnych wewnętrznych lub zewnętrznych adresów.

Wpływ biznesowy

Atakujący może wykorzystać tę lukę do uzyskania dostępu do wewnętrznych usług lub metadanych chmurowych, co może prowadzić do wycieku danych lub dalszej eskalacji ataku. Wdrożenia hostowane przez Vercel nie są podatne. Organizacje korzystające z samodzielnego hostingu Next.js powinny pilnie zweryfikować swoje wersje i środowiska, aby uniknąć potencjalnych naruszeń bezpieczeństwa.

Rekomendowane działania administratora

Zaleca się aktualizację Next.js do wersji 15.5.16 lub 16.2.5, gdzie luka została załatana. Jeśli aktualizacja nie jest możliwa od razu, należy ograniczyć dostęp do serwera Node.js, monitorować logi pod kątem podejrzanych żądań WebSocket oraz przeglądnąć konfigurację sieci w celu minimalizacji ekspozycji wewnętrznych usług. Regularne przeglądy i testy bezpieczeństwa są wskazane.

Źródła