1. Next.js 缓存投毒漏洞 CVE-2024-46982 曝光,影响 Pages Router 服务器端渲染
Vercel 旗下的 Next.js 框架曝出严重安全漏洞 CVE-2024-46982,攻击者可通过发送特制的 HTTP 请求,对使用 Pages Router 的非动态服务器端渲染路由进行缓存投毒。此漏洞直接影响基于 Next.js Pages Router 构建的应用程序,可能允许攻击者将恶意内容注入缓存,从而影响后续访问该路由的所有用户。自动化依赖管理工具 Renovate 已发布更新建议,将 Next.js 从存在风险的 14.2.1 版本升级至已修复的 15.5.14 版本。 该漏洞的核心在于 Next.js 的 Pages Router 在处理特定服务器端渲染请求时的缓存机制存在缺陷。攻击者能够利用此缺陷,通过精心构...