本文探讨了如何利用HTTP请求中的CL.0漏洞建立不可检测的C2通道。通过识别服务器解析差异,结合简单的请求头和有效的payload,可以实现全局缓存中毒。研究强调了理解相关技术和测试步骤的重要性,以确保成功利用该漏洞。
Next.js 修复了一个影响版本 >=15.1.0 <15.1.8 的漏洞,该漏洞导致缓存中毒和拒绝服务(DoS)问题。此问题不影响 Vercel 用户。修复通过删除有问题的代码路径和消除竞争条件实现。
Next.js App Router 15.3.0至15.3.2和Vercel CLI 41.4.1至42.2.0存在缓存中毒漏洞,已修复。该漏洞可能导致HTML请求返回React服务器组件。修复方法包括正确设置Vary头和重新部署应用。
网络缓存技术自互联网初期就已存在,主要通过密钥识别请求。近年来,内容分发网络(CDN)提高了系统效率,但也面临缓存中毒和欺骗攻击的风险,攻击者可能利用缓存存储动态信息,导致敏感数据泄露。此外,不同服务器对URL的解析差异可能影响缓存安全。
安全研究人员发现Remix框架中的React Router存在两个高危漏洞(CVE-2025-43864和CVE-2025-43865),可能导致缓存中毒和跨站脚本攻击。Vercel已采取保护措施,建议用户更新到React Router 7.5.2并清除缓存。
Next.js 存在低严重性缓存中毒漏洞,影响版本 >14.2.24 到 <15.1.6。攻击者可利用请求间的竞争条件导致 CDN 缓存中毒。该漏洞已在 15.1.6 和 14.2.24 中修复。建议自托管用户移除请求中的 x-now-route-matches 头部并设置缓存控制。
缓存中毒是一种严重的安全漏洞,可能影响Laravel应用的数据完整性和机密性。攻击者通过操控缓存提供恶意数据,导致用户接收错误信息或敏感数据泄露。为防止此类攻击,应清理用户输入、规范缓存键、使用缓存标签、禁用敏感数据缓存,并实施缓存完整性检查。
完成下面两步后,将自动完成登录并继续当前操作。
