CVE-2025-55173

📝

内容提要

Next.js 图像优化存在漏洞，影响 v15.4.5 和 v14.2.31 之前的版本。攻击者可利用外部图像服务器下载恶意文件。2025年7月29日发布的补丁修复了此问题，确保仅在确认内容为图像时缓存响应。

🎯

关键要点

• Next.js 图像优化存在漏洞，影响 v15.4.5 和 v14.2.31 之前的版本。

• 攻击者可利用外部图像服务器下载恶意文件。

• 2025年7月29日发布的补丁修复了此问题，确保仅在确认内容为图像时缓存响应。

• 在特定配置下，恶意行为者可以触发下载攻击者控制的文件。

• 此漏洞可能被用于网络钓鱼、驱动下载或社交工程场景。

• 解决方案更新了图像优化逻辑，避免错误使用缓存键。

🔎

延伸解读

漏洞影响范围

此次漏洞影响了 Next.js 的多个版本，尤其是 v15.4.5 和 v14.2.31 之前的版本。使用这些版本的开发者需要特别注意，因为攻击者可以通过外部图像服务器实施恶意下载，可能导致用户数据泄露或系统被攻击。

补丁的重要性

2025年7月29日发布的补丁修复了该漏洞，更新了图像优化逻辑，确保只有在确认内容为图像时才缓存响应。这一修复对于保护用户和开发者的安全至关重要，建议尽快更新到最新版本以避免潜在风险。

攻击方式与防范

攻击者可以利用特定配置下的漏洞，通过诱导用户点击恶意链接来触发下载。这种攻击方式常见于网络钓鱼和社交工程场景，因此开发者应加强对用户的安全教育，并确保应用程序的配置安全。

❓

延伸问答

CVE-2025-55173漏洞影响了哪些Next.js版本？

该漏洞影响了v15.4.5和v14.2.31之前的版本。

攻击者如何利用Next.js图像优化漏洞？

攻击者可以利用外部图像服务器下载恶意文件，触发下载攻击者控制的文件。

2025年7月29日发布的补丁解决了什么问题？

补丁更新了图像优化逻辑，确保仅在确认内容为图像时缓存响应，避免错误使用缓存键。

此漏洞可能被用于哪些恶意活动？

此漏洞可能被用于网络钓鱼、驱动下载或社交工程场景。

如何防止Next.js图像优化漏洞的利用？

确保目标应用没有配置外部图像域或模式，并避免用户点击可疑链接。

CVE-2025-55173漏洞的修复逻辑是什么？

修复逻辑避免在魔法数字检测失败时回退到上游的Content-Type头，确保仅在确认是图像内容时缓存响应。

🏷️

标签

Next.js cve 图像优化 恶意文件 漏洞 补丁