Una vulnerabilidad de severidad alta ha sido descubierta en versiones específicas de Next.js, afectando implementaciones específicas que utilizan rutas renderizadas del lado del servidor (SSR). El exploit permite el envenenamiento de caché, poniendo en riesgo la integridad de los datos y la seguridad de las aplicaciones web.
Producto afectado:
- Next.js versiones entre 13.5.1 y 14.2.9
Impacto:
La vulnerabilidad se identifica como CVE-2024-46982: con una puntuación en CVSSv3 de 7.5 de severidad alta. Es una vulnerabilidad de envenenamiento de caché que amenaza algunas implementaciones de Next.js, específicamente aquellas que utilizan rutas no dinámicas renderizadas del lado del servidor (SSR) dentro del enrutador de páginas. Cuando se envía una solicitud HTTP diseñada a un servidor vulnerable, engaña a la aplicación para que almacene en caché respuestas que no deberían almacenarse en caché.
Recomendación:
Actualizar a la última versión parcheada disponible que resuelve la vulnerabilidad encontrada.
Referencia:
https://securityonline.info/next-js-vulnerability-cve-2024-46982-cache-poisoning-exploit-threatens-deployments/
https://vulert.com/vuln-db/CVE-2024-46982
https://nvd.nist.gov/vuln/detail/CVE-2024-46982