Next.js 框架爆出高危 SSRF 漏洞 (CVE-2024-34351)，影响 Server Actions 功能

Vercel 旗下的主流 React 框架 Next.js 被曝存在一个高危的服务器端请求伪造 (SSRF) 漏洞，编号为 CVE-2024-34351。该漏洞直接影响 Next.js 的 Server Actions 功能，可能允许攻击者通过构造恶意请求，诱使服务器向内部或外部网络发起非预期的 HTTP 请求，从而访问或攻击内部服务。安全研究人员已通过 GitHub 安全公告 (GHSA-fr5h-rqp8-mj6g) 披露了此漏洞的细节。

此次漏洞的修复已包含在 Next.js 的版本更新中。自动化依赖管理工具 Renovate 已发布更新 PR，建议将 Next.js 从存在漏洞的版本（如 ^13.5.0）升级至已修复的版本 ^16.2.1。更新跨度巨大，从 13.x 直接跳至 16.x，凸显了修复的紧迫性和底层变动的规模。依赖仪表盘显示，部分相关依赖项的状态尚不明确，需要开发者额外关注。

对于使用 Next.js 构建应用程序，特别是启用了 Server Actions 功能的团队而言，此漏洞构成了直接的安全风险。未及时升级的线上应用可能面临数据泄露、内部服务被探测或攻击的风险。开发者和运维团队应立即审查其项目依赖，优先应用此安全更新，并检查 Server Actions 的实现是否存在潜在的滥用路径。这是近期 Web 框架安全态势中一个需要高度关注的事件。