Next.js 修补了服务器操作中的拒绝服务漏洞 (CVE-2024-56332)

阅读量34448

发布时间 : 2025-01-07 11:15:14

x
译文声明

本文是翻译文章,文章原作者 do son,文章来源:securityonline

原文地址:https://securityonline.info/next-js-patches-denial-of-service-vulnerability-cve-2024-56332-in-server-actions/

译文仅供参考,具体内容表达以及含义原文为准。

CVE-2024-56332

流行的 React 框架 Next.js 已解决了一个安全漏洞,攻击者可利用该漏洞对使用 Server Actions 的应用程序发起拒绝服务 (DoS) 攻击。该漏洞被追踪为 CVE-2024-56332,由 PackDraw 团队负责任地披露。

Next.js 以其性能和开发人员友好的功能而著称,被许多高流量网站和应用程序所使用。Server Actions 是一个相对较新的功能,可实现服务器端数据获取和突变,从而提高应用程序的性能和安全性。然而,这个漏洞可能会让恶意行为者利用服务器操作来破坏服务的可用性。

漏洞的工作原理

安全公告对该漏洞的解释如下: “拒绝服务(DoS)攻击允许攻击者构建请求,使对服务器操作的请求悬空,直到托管服务提供商取消函数执行。”

从本质上讲,攻击者可以编造请求,让服务器动作无限期地运行,占用服务器资源,阻止合法用户访问应用程序。虽然 Next.js 服务器本身在攻击期间保持空闲,但开放连接可能会使服务器不堪重负,从而导致拒绝服务。

影响和缓解

CVE-2024-56332 漏洞影响了使用服务器动作的 Next.js 部署,特别是那些没有针对长时间运行函数执行提供保护的部署。像 Vercel 和 Netlify 这样的托管服务提供商通常都有默认的保护措施来降低此类风险,但其他平台上的部署可能更容易受到影响。

Next.js 团队已发布修补版本来解决这一漏洞。强烈建议用户升级到最新版本的 Next.js 14 (v14.2.21)、Next.js 15 (v15.1.2) 或 Next.js 13 (v13.5.8),以确保其应用程序受到保护。

没有可用的解决方法

该安全公告称 “该漏洞没有官方的解决方法”,并强调了升级到已打补丁版本的重要性。

本文翻译自securityonline 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全KER All Rights Reserved 京ICP备08010314号-66