Vercel News
·
CVE-2025-59471 和 CVE-2025-59472 的摘要
💡
原文英文,约300词,阅读约需2分钟。
📝
内容提要
发现两个中等严重性的拒绝服务漏洞,影响自托管的Next.js应用,可能导致服务器因内存耗尽崩溃,但不涉及数据泄露。受影响版本为10到15.5.10及15到15.6.0-canary.61,已发布修复版本。
🎯
关键要点
- 发现两个中等严重性的拒绝服务漏洞,影响自托管的Next.js应用。
- 漏洞可能导致服务器因内存耗尽崩溃,但不涉及数据泄露。
- 受影响的Next.js版本为10到15.5.10及15到15.6.0-canary.61。
- CVE-2025-59471漏洞影响启用外部图像优化的Image Optimizer。
- CVE-2025-59472漏洞影响在最小模式下启用部分预渲染的应用。
- 这两个漏洞会导致Node.js进程因内存耗尽而终止,造成应用停机。
- 已发布修复版本:15.5.10、15.6.0-canary.61、16.1.5、16.2.0-canary.9。
- 对于无法立即升级的自托管部署,建议限制或移除不可信的remotePatterns,禁用部分预渲染或最小模式,并在反向代理层施加严格的请求大小限制。
- 感谢Andrew MacPherson通过我们的漏洞奖励计划进行的负责任披露。
➡️
