Vulnerabilità scoperta che consente di bypassare l'autenticazione nelle applicazioni Next.js
In un recente avviso, il Australian Cyber Security Centre (ACSC) ha segnalato un problema di sicurezza che riguarda determinate versioni di Next.js, un popolare framework React utilizzato per creare applicazioni web. La vulnerabilità consente a un attaccante remoto di bypassare i controlli di sicurezza, inclusi molti tipi di autenticazione.
Il problema si verifica nelle applicazioni Next.js autonome che utilizzano il Middleware. Un rapporto di sicurezza ha dimostrato che era possibile saltare l'esecuzione del Middleware in Next.js, il che potrebbe consentire alle richieste di bypassare i controlli critici. Ciò potrebbe potenzialmente portare ad accessi non autorizzati alle risorse protette.
Le applicazioni che utilizzano il Middleware per l'autenticazione o i controlli di sicurezza, ma non li validano successivamente nella loro applicazione, sono a rischio. Saltare il Middleware potrebbe bypassare la validazione del cookie di autorizzazione nelle applicazioni Next.js.
Per fortuna, la vulnerabilità è stata risolta in diverse versioni di Next.js. In Next.js 15.x, il problema è stato risolto nella versione 15.2.3, in Next.js 14.x nella versione 14.2.25, in Next.js 13.x nella versione 13.5.9 e in Next.js 12.x nella versione 12.3.5. Si consiglia agli utenti di aggiornare alla versione più recente di Next.js per mitigare il rischio.
Per coloro che non possono aggiornare immediatamente, un workaround consiste nel impedire che le richieste degli utenti esterni contenenti l'intestazione raggiungano l'applicazione Next.js. Questa intestazione viene utilizzata da Next.js per prevenire che le richieste ricorsive scatenino loop infiniti.
Le applicazioni ospitate su Vercel, le applicazioni ospitate su Netlify e le applicazioni distribuite come esportazioni statiche (Middleware non eseguito) non sono interessate. Tuttavia, le applicazioni che utilizzano Cloudflare possono attivare una regola WAF gestita per mitigare la vulnerabilità.
Attualmente, non ci sono informazioni pubbliche che identificano organizzazioni specifiche che utilizzano Next.js in un ambiente autonomo che non hanno risolto il problema di sicurezza legato al bypass dei controlli di sicurezza tramite l'intestazione.
Questo avviso serve come promemoria per i sviluppatori di dare la priorità alla sicurezza nelle loro applicazioni web, soprattutto quando utilizzano framework di terze parti come Next.js. Mantenendo le applicazioni aggiornate e implementando misure di sicurezza appropriate, i sviluppatori possono aiutare a proteggere le loro applicazioni dalle minacce di sicurezza potenziali.
Leggi anche:
- Espansione della presenza militare della Cina nella regione del Pacifico sudoccidentale e dell'Oceania
- Polk annuncia la sua partnership con il Lab 2.0 dopo la vendita di Upswing Poker a Club WPT Gold.
- Le principali nazioni africane progettano standard urbani puliti per il 2025
- Conoscere il bonsai di ginepro: modellare e mantenere una specie di albero senza tempo
