Vercel News
·
CVE-2025-49826
💡
原文英文,约200词,阅读约需1分钟。
📝
内容提要
Next.js 修复了一个影响版本 >=15.1.0 <15.1.8 的漏洞,该漏洞导致缓存中毒和拒绝服务(DoS)问题。此问题不影响 Vercel 用户。修复通过删除有问题的代码路径和消除竞争条件实现。
🎯
关键要点
- Next.js 修复了影响版本 >=15.1.0 <15.1.8 的漏洞。
- 该漏洞导致缓存中毒和拒绝服务(DoS)问题。
- 此问题不影响 Vercel 用户。
- 在特定条件下,漏洞可能导致 HTTP 204 响应被缓存,影响所有访问该页面的用户。
- 漏洞可被利用的条件包括使用受影响版本的 Next.js、使用 ISR 的路由和配置了 CDN 的 SSR 路由。
- 修复通过删除有问题的代码路径和消除竞争条件实现。
- 感谢 Allam Rachid 和 Allam Yasser 的负责任披露。
❓
延伸问答
CVE-2025-49826漏洞影响了哪些Next.js版本?
影响的版本为 >=15.1.0 <15.1.8。
CVE-2025-49826漏洞会导致什么问题?
该漏洞导致缓存中毒和拒绝服务(DoS)问题。
Vercel用户会受到CVE-2025-49826漏洞的影响吗?
此问题不影响Vercel用户。
如何修复CVE-2025-49826漏洞?
修复通过删除有问题的代码路径和消除竞争条件实现。
利用CVE-2025-49826漏洞需要哪些条件?
需要使用受影响版本的Next.js、使用ISR的路由和配置了CDN的SSR路由。
谁负责披露了CVE-2025-49826漏洞?
感谢Allam Rachid和Allam Yasser的负责任披露。
➡️
