CVE-2026-44578: Уразливість Next.js у серверних запитах через WebSocket

Виявлено уразливість у Next.js, що дозволяє серверні запити через WebSocket. Оновіть до версій 15.5.16 або 16.2.5 для захисту внутрішніх сервісів.
CVE-2026-44578CVSS 8.6Runtime

CVE-2026-44578: Уразливість Next.js у серверних запитах через WebSocket

Виявлено уразливість у Next.js, що дозволяє серверні запити через WebSocket. Оновіть до версій 15.5.16 або 16.2.5 для захисту внутрішніх сервісів.

CVSS
8.6 HIGH
EPSS
98.4%
Активно використовується
немає в KEV
Продукт
next.js

Що відомо

Уразливість у Next.js (версії від 13.4.13 до 15.5.16 та 16.2.5) дозволяє через спеціально сформовані WebSocket-запити виконувати серверні запити до довільних внутрішніх або зовнішніх адрес. Це може призвести до витоку внутрішніх сервісів або метаданих хмарної інфраструктури. Розгортання на Vercel не уразливі.

Бізнес-вплив

Для ІТ-операторів і власників інфраструктури це означає ризик несанкціонованого доступу до внутрішніх ресурсів через проксування запитів. Уразливість може спричинити витік конфіденційної інформації та порушення безпеки мережі. Важливо оперативно оцінити використання вразливих версій і мінімізувати потенційні загрози.

Рекомендовані дії адміністратора

Рекомендується оновити Next.js до версій 15.5.16 або 16.2.5, де уразливість виправлена. Якщо оновлення неможливе, слід обмежити доступ до серверів, що приймають WebSocket-запити, переглянути журнали на предмет підозрілої активності та мінімізувати експозицію внутрішніх сервісів. Регулярно перевіряйте оновлення від виробника та пріоритезуйте виправлення.

Джерела