Vulnerabilidad en Next.js (CVE-2024-47831)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

14/10/2024

Última modificación:

08/11/2024

Descripción

Next.js es un framework de trabajo de React para la Web. Las versiones 10.x, 11.x, 12.x, 13.x y 14.x anteriores a la versión 14.2.7 contienen una vulnerabilidad en la función de optimización de imágenes que permite una posible condición de denegación de servicio (DoS) que podría provocar un consumo excesivo de CPU. Ni el archivo `next.config.js` que está configurado con `images.unoptimized` establecido en `true` o `images.loader` establecido en un valor que no sea el predeterminado ni la aplicación Next.js alojada en Vercel se ven afectados. Este problema se solucionó por completo en Next.js `14.2.7`. Como workaround, asegúrese de que el archivo `next.config.js` tenga asignado `images.unoptimized`, `images.loader` o `images.loaderFile`.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto