Vulnerabilidad en las direcciones URL no válidas o malformadas en Next.js (CVE-2021-43803)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
10/12/2021
Última modificación:
12/03/2024
Descripción
Next.js es un framework de React. En las versiones de Next.js anteriores a 12.0.5 o 11.1.3, las direcciones URL no válidas o malformadas podrían conllevar a un bloqueo del servidor. Para verse afectado por este problema, el despliegue debe usar versiones de Next.js superiores a 11.1.0 y anteriores a 12.0.5, Node.js versiones posteriores a 15.0.0, y el siguiente inicio o un servidor personalizado. Los despliegues en Vercel no están afectados, junto con entornos similares en los que las peticiones no válidas son filtradas antes de llegar a Next.js. Las versiones 12.0.5 y 11.1.3 contienen parches para este problema
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:vercel:next.js:*:*:*:*:*:node.js:*:* | 11.1.0 (incluyendo) | 11.1.3 (excluyendo) |
| cpe:2.3:a:vercel:next.js:*:*:*:*:*:node.js:*:* | 12.0.0 (incluyendo) | 12.0.5 (excluyendo) |
| cpe:2.3:a:nodejs:node.js:*:*:*:*:*:*:*:* | 15.0.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/vercel/next.js/commit/6d98b4fb4315dec1badecf0e9bdc212a4272b264
- https://github.com/vercel/next.js/pull/32080
- https://github.com/vercel/next.js/releases/tag/v11.1.3
- https://github.com/vercel/next.js/releases/v12.0.5
- https://github.com/vercel/next.js/security/advisories/GHSA-25mp-g6fv-mqxx