Vercel News
·
CVE-2025-30218
💡
原文英文,约400词,阅读约需2分钟。
📝
内容提要
在修复CVE-2025-29927漏洞时,Next.js发现了其他低严重性的潜在中间件漏洞,并验证了跨请求的x-middleware-subrequest-id。虽然攻击者需控制第三方才能利用此漏洞,Next.js计划移除递归防护逻辑。Vercel客户已获得保护,建议更新到最新补丁版本。
🎯
关键要点
-
在修复CVE-2025-29927漏洞时,Next.js发现了其他低严重性的潜在中间件漏洞。
-
Next.js验证了跨请求的x-middleware-subrequest-id,尽管攻击者需控制第三方才能利用此漏洞。
-
Next.js计划移除递归防护逻辑,以支持Node.js运行时的新更新。
-
Vercel客户已获得保护,建议更新到最新的Next.js补丁版本。
-
其他托管Next.js应用程序的基础设施提供商不受此漏洞影响。
-
此公告与Next.js的新内部漏洞披露流程一致,已对15.x版本进行了修补,并为12.x至14.x版本提供了回溯补丁。
-
Next.js与新合作伙伴积极合作,进行早期漏洞披露。
-
感谢Jinseo Kim和ryotak的负责任披露,他们获得了漏洞奖励计划的奖励。
❓
延伸问答
CVE-2025-30218漏洞的严重性如何?
CVE-2025-30218被认为是低严重性的潜在中间件漏洞。
Next.js是如何发现CVE-2025-30218漏洞的?
在修复CVE-2025-29927漏洞时,Next.js发现了CVE-2025-30218漏洞,并进行了验证。
Vercel客户如何受到保护?
Vercel客户已获得保护,建议更新到最新的Next.js补丁版本。
CVE-2025-30218漏洞的利用条件是什么?
攻击者需控制第三方才能利用CVE-2025-30218漏洞。
Next.js对CVE-2025-30218漏洞的修复计划是什么?
Next.js计划移除递归防护逻辑,以支持Node.js运行时的新更新。
其他托管Next.js应用程序的基础设施提供商会受到影响吗?
其他托管Next.js应用程序的基础设施提供商不受此漏洞影响。
➡️
