Next.jsで認証バイパスの脆弱性(CVE-2024-51479)
React フレームワーク「Next.js」で認証バイパスの脆弱性(CVE-2024-51479)が発生しました。CVSS スコア 7.5 で重大な脆弱性となります。
発見者はGMOサイバーセキュリティ byイエラエ株式会社のtyage氏になります。
影響を受けるバージョン
バージョン 9.5.5 以上 14.2.14 以下
脆弱性の対処法
Next.js 14.2.15以降で修正。
なお、公式の回避策はありません。
CVE-2024-51479 脆弱性の概要
影響を受けるバージョンでは、Next.js アプリケーションがパス名に基づいてミドルウェアで認証を実行している場合、アプリケーションのルート ディレクトリの直下にあるページでこの認証がバイパスされる可能性があります。