Next.js 框架 16.0.1 < 16.1.7 多种漏洞

high Nessus 插件 ID 303199

语言：

简介

远程主机上的 Next.js 框架受到多种漏洞的影响。

描述

远程主机上的 Next.js 框架受到多种漏洞影响

- Next.js 开发服务器中存在一个漏洞其中 null 来源可绕过 HMR模块热替换websocket 端点上的跨站保护。如果攻击者能够访问可从 dev 服务器访问的、由攻击者控制的内容，则攻击者可能会连接到 HMR websocket 通道并拦截 dev 流量，即使已设置 allowedDevOrigins 配置也是如此。此漏洞仅影响开发模式。 (CVE-2026-27977)

- Next.js 中存在一个漏洞其中具有 null 来源的请求可绕过 Server Actions 中的 CSRF 验证。来自不透明上下文例如沙盒 iframe 的请求可绕过源验证而不会被验证为跨源请求。攻击者可操纵受害者的浏览器使用受害者凭据从沙盒上下文中执行变更状态的服务器操作。 (CVE-2026-27978)

- 启用了部分预渲染的 Next.js 应用程序中存在一个拒绝服务漏洞。在非最小部署中处理 next-resume 标头请求时系统无法一致强制执行 maxPostponedStateSize 限制从而允许攻击者发送带有 next-resume 标头的超大 POST 负载以触发无限内存缓冲并造成内存过多消耗可能导致服务中断。 (CVE-2026-27979)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。