Next.js 缓存投毒漏洞 CVE-2024-46982 曝光，影响 Pages Router 服务器端渲染

Vercel 旗下的 Next.js 框架曝出严重安全漏洞 CVE-2024-46982，攻击者可通过发送特制的 HTTP 请求，对使用 Pages Router 的非动态服务器端渲染路由进行缓存投毒。此漏洞直接影响基于 Next.js Pages Router 构建的应用程序，可能允许攻击者将恶意内容注入缓存，从而影响后续访问该路由的所有用户。自动化依赖管理工具 Renovate 已发布更新建议，将 Next.js 从存在风险的 14.2.1 版本升级至已修复的 15.5.14 版本。

该漏洞的核心在于 Next.js 的 Pages Router 在处理特定服务器端渲染请求时的缓存机制存在缺陷。攻击者能够利用此缺陷，通过精心构造的请求，将错误的响应内容存入服务器缓存。值得注意的是，官方安全公告明确指出，此漏洞仅影响传统的 Pages Router，而较新的 App Router 架构不受影响。这凸显了不同路由架构在安全实现上的差异，也为仍在维护旧版 Pages Router 项目的团队敲响了警钟。

对于依赖 Next.js 进行开发的企业和开发者而言，此漏洞构成了直接的安全风险。缓存投毒可能导致用户被重定向到恶意网站、看到被篡改的内容，或触发其他客户端漏洞。虽然修复版本 15.5.14 已经发布，但升级过程可能涉及重大版本变更（从 v14 到 v15），需要开发团队进行充分的测试以评估兼容性影响。所有使用 Next.js Pages Router 且启用了服务器端渲染缓存的项目，应立即评估受影响程度并优先安排升级，以缓解潜在的供应链攻击风险。