Next.jsの脆弱性(CVE-2024-46982)で偽サイトへ誘導が可能に
![Next.jsの脆弱性(CVE-2024-46982)で偽サイトへ誘導が可能に](https://rocket-boys.co.jp/wp-content/uploads/2024/09/coding-1841550_1280.jpg)
Next.jsはReact の機能を拡張したフレームワークで、日本でも一般的に利用されています。Next.jsの脆弱性(CVE-2024-46982)で偽サイトへ誘導するキャッシュポイズニングが可能になる可能性があります。
対策
Next.js v13.5.7、v14.2.10 以降へバージョンアップ
脆弱性 CVE-2024-46982の概要
細工された HTTP リクエストを送信することで、ページ ルーター内の動的でないサーバー側レンダリング ルートのキャッシュを汚染することができます。
※ アプリ ルーターには影響しません
この細工されたリクエストが送信されると、Next.js はキャッシュされないはずのルートを強制的にキャッシュし、本来キャッシュされるべきではないレスポンスをキャッシュするように仕向けられます。
この脆弱性は上流のコンテンツ配信ネットワーク (CDN) に伝播し、汚染されたコンテンツをユーザーに提供するなど、潜在的に有害な結果をもたらす可能性があります。
対象バージョン
・Next.js バージョン: 13.5.1 から 14.2.9 の間
・ルーター:ページルーターの使用
・ルート:動的でないサーバー側レンダリングルートを使用する
(例: pages/dashboard.tsx、 ではないpages/blog/[slug].tsx)
参照
Next.js Vulnerability CVE-2024-46982: Cache Poisoning Exploit Threatens Deployments