Next.js < 14.1.1 Server Actions SSRF漏洞

北京赛克艾威科技有限公司 2024-05-13

漏洞编号：CVE-2024-34351
漏洞类型：SSRF
漏洞等级：高危
发布时间：2024-05-13

漏洞描述

近日，赛克艾威网络安全实验室监测到Next.js < 14.1.1 Server Actions SSRF漏洞情报。在受影响版本中，当使用Server Actions服务端试图执行基于相对路径的重定向时，如果 Host 头被篡改，会错误地将重定向的基地址设置为攻击者指定的地址进行请求，可能导致内网信息泄露。

漏洞危害

当使用Server Actions服务端试图执行基于相对路径的重定向时，如果 Host 头被篡改，会错误地将重定向的基地址设置为攻击者指定的地址进行请求，可能导致内网信息泄露。

修复建议

将组件 next 升级至 14.1.1 及以上版本

Next.js < 14.1.1 Server Actions SSRF漏洞

漏洞描述

漏洞危害

修复建议

联系方式

信息安全产品

信息安全服务

信息安全服务

信息安全培训

关于我们