Vercel News ·

CVE-2025-55173

💡 原文英文，约200词，阅读约需1分钟。

📝

内容提要

Next.js 图像优化存在漏洞，影响 v15.4.5 和 v14.2.31 之前的版本。攻击者可利用外部图像服务器下载恶意文件。2025年7月29日发布的补丁修复了此问题，确保仅在确认内容为图像时缓存响应。

🎯

❓

该漏洞影响了v15.4.5和v14.2.31之前的版本。

攻击者可以利用外部图像服务器下载恶意文件，触发下载攻击者控制的文件。

补丁更新了图像优化逻辑，确保仅在确认内容为图像时缓存响应，避免错误使用缓存键。

此漏洞可能被用于网络钓鱼、驱动下载或社交工程场景。

确保目标应用没有配置外部图像域或模式，并避免用户点击可疑链接。

修复逻辑避免在魔法数字检测失败时回退到上游的Content-Type头，确保仅在确认是图像内容时缓存响应。

🏷️

Copy Fail：2017年至今的漏洞，一个脚本获得 Linux root 管理员权限｜CVE-2026-31431
漏洞编号CVE-2026-31431允许非特权用户通过简单代码获取Linux系统的root权限。该漏洞影响自2017年以来的多个Linux发行版，原因是内...
安全公告：Qt声明模块中VectorImage组件的QML代码注入漏洞影响Qt
Qt的VectorImage组件存在代码注入漏洞（CVE-2025-14576），影响版本6.8.0至6.8.6及6.9.0至6.10.1。该漏洞允许恶意...
Rivian’s revenue is up as R2 production kicks into gear
Rivian reported its first quarter earnings of 2026, providing us a closer loo...
Rivian downsizes its goals for its EV factory in Georgia
Rivian announced some changes today with regard to the factory its building i...
The logic of the racist Supreme Court isn’t adding up
Close watchers of the Supreme Court knew that the conservative supermajority ...
人工智能沙箱正迎来其Kubernetes时刻
Recently, Anthropic announced that its new model, Mythos, had autonomously fo...