Vercel News
·
Flags SDK中的信息泄露(CVE-2025-46332)
💡
原文英文,约300词,阅读约需1分钟。
📝
内容提要
Vercel发现并修复了Flags SDK中的信息泄露漏洞(CVE-2025-46332),影响版本为flags ≤ 3.2.0。建议用户升级至flags@4.0.0以解决此问题。该漏洞允许恶意用户获取标志名称、描述和选项,但不涉及写入权限或客户数据。Vercel已采取网络级缓解措施以防止漏洞利用。
🎯
关键要点
- Vercel发现并修复了Flags SDK中的信息泄露漏洞(CVE-2025-46332),影响版本为flags ≤ 3.2.0和@vercel/flags ≤ 3.1.1。
- 建议用户升级至flags@4.0.0以解决此问题,或从@vercel/flags迁移至flags。
- 该漏洞允许恶意用户获取标志名称、描述、可用选项及其标签,但不涉及写入权限或客户数据。
- Vercel已实施网络级缓解措施,防止默认标志发现端点被访问。
- 如果用户通过自定义路径暴露标志发现端点,可以实施自定义WAF规则以限制访问。
- 所有用户都应升级至flags@4.0.0,Flags Explorer将在升级前被禁用并显示警告通知。
❓
延伸问答
CVE-2025-46332漏洞的影响版本是什么?
影响版本为flags ≤ 3.2.0和@vercel/flags ≤ 3.1.1。
如何修复Flags SDK中的信息泄露漏洞?
建议用户升级至flags@4.0.0,或从@vercel/flags迁移至flags。
该漏洞允许恶意用户获取哪些信息?
恶意用户可以获取标志名称、描述、可用选项及其标签,但不涉及写入权限或客户数据。
Vercel采取了哪些措施来防止漏洞利用?
Vercel实施了网络级缓解措施,防止默认标志发现端点被访问。
如果用户自定义路径暴露了标志发现端点,该如何处理?
用户可以实施自定义WAF规则以限制对这些端点的访问。
Flags Explorer在升级前会有什么变化?
Flags Explorer将在升级前被禁用并显示警告通知。
➡️
