Next.js 框架 16.0.1 < 16.1.7 多种漏洞
medium Nessus 插件 ID 303199
语言:
简介
远程主机上的 Next.js 框架受到多种漏洞的影响。描述
远程主机上的 Next.js 框架受到多种漏洞影响- Next.js 开发服务器中存在一个漏洞其中 null 来源可绕过 HMR模块热替换websocket 端点上的跨站保护。如果攻击者能够访问可从 dev 服务器访问的、由攻击者控制的内容,则攻击者可能会连接到 HMR websocket 通道并拦截 dev 流量,即使已设置 allowedDevOrigins 配置也是如此。此漏洞仅影响开发模式。 (CVE-2026-27977)
- Next.js 中存在一个漏洞其中具有 null 来源的请求可绕过 Server Actions 中的 CSRF 验证。来自不透明上下文例如沙盒 iframe 的请求可绕过源验证而不会被验证为跨源请求。攻击者可操纵受害者的浏览器使用受害者凭据从沙盒上下文中执行变更状态的服务器操作。 (CVE-2026-27978)
- 启用了部分预渲染的 Next.js 应用程序中存在一个拒绝服务漏洞。在非最小部署中处理 next-resume 标头请求时系统无法一致强制执行 maxPostponedStateSize 限制从而允许攻击者发送带有 next-resume 标头的超大 POST 负载以触发无限内存缓冲并造成内存过多消耗可能导致服务中断。 (CVE-2026-27979)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
升级到 Next.js Framework 版本 16.1.7 或更高版本。另见
http://www.nessus.org/u?ffbe22d0
插件详情
严重性: Medium
ID: 303199
文件名: nextjs_framework_16_1_7.nasl
版本: 1.2
类型: Local
代理: windows, macosx, unix
系列: Misc.
发布时间: 2026/3/20
最近更新时间: 2026/3/23
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Low
分数: 3.6
CVSS v2
风险因素: Medium
基本分数: 6.4
时间分数: 4.7
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N
CVSS 分数来源: CVE-2026-27977
CVSS v3
风险因素: Medium
基本分数: 5.4
时间分数: 4.7
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
CVSS v4
风险因素: Medium
Base Score: 6.9
Threat Score: 2.7
Threat Vector: CVSS:4.0/E:U
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N
CVSS 分数来源: CVE-2026-27979
漏洞信息
CPE: cpe:/a:vercel:next.js
必需的 KB 项: Host/nodejs/modules/enumerated
易利用性: No known exploits are available
补丁发布日期: 2026/3/17
漏洞发布日期: 2026/3/17
参考资料信息
CVE: CVE-2026-27977, CVE-2026-27978, CVE-2026-27979
IAVA: 2026-A-0252