Vulnerabilità Next.js, un framework JavaScript open-source per la creazione di applicazioni web reattive. Queste vulnerabilità, con codici CVE-2024-34350 e CVE-2024-34351, hanno un livello di gravità di 7.5 (High) e riguardano la Response queue poisoning e la Server-Side Request Forgery (SSRF).
Vulnerabilità CVE-2024-34350: Next.js vulnerabile allo smuggling delle richieste HTTP
La vulnerabilità CVE-2024-34350 è stata scoperta da Portswigger Research e sfrutta un’interpretazione errata di richieste HTTP craftate. Quando sfruttata, può causare risposte desincronizzate, portando a una Response queue poisoning. Per sfruttare questa vulnerabilità, le rotte interessate devono utilizzare la funzionalità di rewriting in Next.js. Non sono state ancora trovate soluzioni alternative, ma la vulnerabilità è stata patchata nelle versioni 13.5.1 e successive, inclusa la versione 14.x.
Vulnerabilità CVE-2024-34351: Server-Side Request Forgery (SSRF) nelle Server Actions
La vulnerabilità CVE-2024-34351 è causata da un endpoint API vulnerabile _next/image, utilizzato per individuare un’immagine nel backend. Questa vulnerabilità può essere sfruttata per richieste di forgery lato server. Il problema è stato risolto nelle versioni 14.1.1 e successive di Next.js. Assetnote ha pubblicato un proof of concept completo che fornisce dettagli sullo sfruttamento e sulla fonte del problema.
Come proteggersi dalle vulnerabilità di Next.js
Per proteggersi da queste vulnerabilità, è consigliabile aggiornare immediatamente a una versione più recente di Next.js. Verificate la presenza di eventuali aggiornamenti e applicateli il prima possibile.
Best practice per la sicurezza di Next.js
- Aggiornamenti regolari: Assicuratevi di mantenere il vostro framework Next.js aggiornato alle versioni più recenti, per sfruttare le patch di sicurezza e le nuove funzionalità.
- Controllo degli accessi: Implementate controlli di accesso rigorosi per garantire che solo gli utenti autorizzati possano accedere alle risorse sensibili.
- Monitoraggio della sicurezza: Monitorate attivamente il vostro ambiente Next.js per individuare e rispondere rapidamente a qualsiasi attività sospetta.
- Formazione sulla sicurezza: Investite nella formazione sulla sicurezza per i vostri sviluppatori e team IT, in modo che siano consapevoli dei rischi e delle best practice di sicurezza.
- Implementazione di un framework di sicurezza: Considerate l’implementazione di un framework di sicurezza completo per proteggere la vostra applicazione Next.js dalle minacce esterne.
Conclusione
Le vulnerabilità CVE-2024-34350 e CVE-2024-34351 in Next.js possono compromettere le operazioni del server e mettere a rischio la sicurezza delle applicazioni web. Aggiornate alla versione più recente di Next.js e seguite le best practice di sicurezza per proteggere il vostro ambiente di sviluppo.
Fonte: https://cybersecuritynews.com/next-js-server-compromise/
