北京赛克艾威科技有限公司 2026-05-13
Next.js 是基于 React 的全栈 Web 应用开发框架,支持服务端渲染、静态站点生成、API 路由等核心能力,可快速构建高性能、SEO 友好的 Web 项目,广泛用于企业官网、电商平台、管理后台等场景,支持自定义 Node.js 服务器部署,具备灵活的路由与代理配置能力,是前端生态中主流的服务端渲染框架之一。 该漏洞源于 WebSocket Upgrade 请求处理路径未应用与普通 HTTP 请求一致的安全检查策略,导致服务器会代理未经充分验证的外部目标请求。攻击者可以利用该漏洞,通过构造特制的 WebSocket 升级请求,迫使 Next.js 服务器向任意内部或外部地址发起请求,从而绕过网络边界防护,实现内网探测、敏感信息窃取以及云环境元数据服务访问等恶意行为。
暂无