Errore di autenticazione non verificato riscontrato nelle applicazioni Next.js
Next.js, un framework React popolare per la costruzione di applicazioni server-rendered, ha pubblicato un avviso che descrive una vulnerabilità che consente a un attaccante remoto di bypassare i controlli di sicurezza. Il problema riguarda le applicazioni Next.js auto-ospitate che utilizzano Middleware e potrebbe consentire l'accesso non autorizzato alle rotte dell'applicazione.
La vulnerabilità si trova nell'header interno di Next.js, utilizzato per prevenire richieste ricorsive daltriggerare loop infiniti. Tuttavia, il rapporto di sicurezza ha dimostrato che questo header potrebbe essere bypassato, potenzialmente consentendo l'accesso non autorizzato.
Il problema nelle versioni 12.x, 13.x e 14.x di Next.js è stato risolto nelle versioni 12.3.5, 13.5.9 e 14.2.25, rispettivamente. Si consiglia agli utenti di aggiornare alla versione più recente di Next.js per garantire la sicurezza delle loro applicazioni.
Le applicazioni ospitate su Vercel, le applicazioni ospitate su Netlify e le applicazioni distribuite come esportazioni statiche (Middleware non eseguito) non sono interessate dalla vulnerabilità di Next.js. Tuttavia, le applicazioni auto-ospitate che non hanno ancora implementato una correzione di sicurezza potrebbero essere a rischio.
Se il patching a una versione sicura non è fattibile, si consiglia di impedire che le richieste degli utenti esterni contenenti l'header raggiungano l'applicazione Next.js. Inoltre, le applicazioni che utilizzano Cloudflare possono attivare una regola WAF gestita per mitigare questa vulnerabilità.
La vulnerabilità di Next.js potrebbe consentire a un attaccante remoto di saltare l'esecuzione del Middleware, il che potrebbe consentire alle richieste di bypassare i controlli critici, come la validazione del cookie di autorizzazione. Gli utenti che si basano sul Middleware per l'autenticazione o i controlli di sicurezza in Next.js sono interessati.
Il Australian Cyber Security Centre ha consigliato agli utenti di aggiornare alla versione più recente di Next.js per proteggere le loro applicazioni da questa vulnerabilità. È fondamentale prioritizzare la sicurezza nello sviluppo web e questo aggiornamento serve come promemoria per restare vigili e mantenere le applicazioni aggiornate.
Leggi anche:
- La fondazione dell'industrializzazione in Europa può dipendere dall'elettricità
- Il voto di fiducia imminente l'8 settembre: esame delle sue potenziali conseguenze
- E' sicuro per una persona che soffre di demenza consumare hot dog?
- L'orologio misterioso Cartier di fascia alta si aspetta di vendere per oltre 6 milioni di dollari all'asta autunnale
