CVE-2025-57752

📝

内容提要

Next.js 存在图像优化漏洞，影响 v15.4.5 和 v14.2.31 之前的版本，导致敏感图像被缓存并泄露给未授权用户。修复了请求头转发问题，确保授权数据不被缓存。修复版本为 v15.4.5 和 v14.2.31。

🎯

关键要点

• Next.js 存在图像优化漏洞，影响 v15.4.5 和 v14.2.31 之前的版本。

• 漏洞导致敏感图像被缓存并泄露给未授权用户。

• 问题涉及请求头转发，优化后的图像可能在没有请求头的情况下被缓存。

• 可能导致用户特定或受保护图像内容的未经授权披露。

• 修复措施确保请求头不被转发到图像端点，防止需要授权的数据被缓存。

• 修复版本为 v15.4.5 和 v14.2.31。

🔎

延伸解读

漏洞影响范围

Next.js 的图像优化漏洞影响了多个版本，特别是 v15.4.5 和 v14.2.31 之前的版本。开发者需要特别关注使用这些版本的项目，确保及时更新，以防止敏感图像被未授权用户访问。

修复措施的重要性

此次修复通过确保请求头不被转发到图像端点，有效防止了需要授权的数据被缓存。这一措施对于保护用户隐私和数据安全至关重要，开发者应重视请求头的管理。

潜在风险与后果

该漏洞可能导致用户特定或受保护图像内容的未经授权披露，甚至可能引发更广泛的跨用户内容泄露。开发者在使用图像优化功能时，需谨慎处理缓存策略，以降低风险。

❓

延伸问答

Next.js 的图像优化漏洞是什么？

Next.js 存在图像优化漏洞，影响 v15.4.5 和 v14.2.31 之前的版本，导致敏感图像被缓存并泄露给未授权用户。

这个漏洞是如何导致敏感图像泄露的？

漏洞导致优化后的图像在没有请求头的情况下被缓存，从而可能泄露用户特定或受保护的图像内容。

如何修复这个 Next.js 漏洞？

修复措施确保请求头不被转发到图像端点，防止需要授权的数据被缓存。

受影响的 Next.js 版本有哪些？

受影响的版本包括 v15.4.5 和 v14.2.31 之前的版本。

这个漏洞是否需要用户交互才能被利用？

不需要用户交互，漏洞只需先前的授权请求来填充缓存即可被利用。

修复版本的具体信息是什么？

修复版本为 Next.js v15.4.5 和 v14.2.31。

🏷️

标签

Next.js cve 修复版本 图像优化 漏洞 缓存