CVE-2026-44578: Уразливість Next.js у серверних запитах через WebSocket
Виявлено уразливість у Next.js, що дозволяє серверні запити через WebSocket. Оновіть до версій 15.5.16 або 16.2.5 для захисту внутрішніх сервісів.
- CVSS
- 8.6 HIGH
- EPSS
- 98.4%
- Активно використовується
- немає в KEV
- Продукт
- next.js
Що відомо
Уразливість у Next.js (версії від 13.4.13 до 15.5.16 та 16.2.5) дозволяє через спеціально сформовані WebSocket-запити виконувати серверні запити до довільних внутрішніх або зовнішніх адрес. Це може призвести до витоку внутрішніх сервісів або метаданих хмарної інфраструктури. Розгортання на Vercel не уразливі.
Бізнес-вплив
Для ІТ-операторів і власників інфраструктури це означає ризик несанкціонованого доступу до внутрішніх ресурсів через проксування запитів. Уразливість може спричинити витік конфіденційної інформації та порушення безпеки мережі. Важливо оперативно оцінити використання вразливих версій і мінімізувати потенційні загрози.
Рекомендовані дії адміністратора
Рекомендується оновити Next.js до версій 15.5.16 або 16.2.5, де уразливість виправлена. Якщо оновлення неможливе, слід обмежити доступ до серверів, що приймають WebSocket-запити, переглянути журнали на предмет підозрілої активності та мінімізувати експозицію внутрішніх сервісів. Регулярно перевіряйте оновлення від виробника та пріоритезуйте виправлення.