超级会员免费看
免责申明:
本文所描述的漏洞及其复现步骤仅供网络安全研究与教育目的使用。任何人不得将本文提供的信息用于非法目的或未经授权的系统测试。作者不对任何由于使用本文信息而导致的直接或间接损害承担责任。如涉及侵权,请及时与我们联系,我们将尽快处理并删除相关内容。
0x01 产品描述:
Next.js是一个构建于Node.js之上的开源Web开发框架,支持基于React的Web应用程序功能,提供了服务器渲染、静态站点生成、路由、优化等高级功能,使得能够快速构建现代web 应用。
0x02 漏洞描述:
Next.js 13.4.0 - 14.1.1之前版本中存在服务器端请求伪造 (SSRF) 漏洞,当Next.js应用程序使用Server Actions执行重定向操作将用户或客户端请求重定向到以/开头的相对路径时,威胁者可通过指定自定义Host标头导致Next.js从该主机获取响应,从而导致SSRF,成功利用该漏洞可能导致内部网络信息泄露。
0x03 影响版本&
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
