Vulnerabilidad en Next.js (CVE-2024-56332)

Next.js es un framework React para crear aplicaciones web full-stack. A partir de la versión 13.0.0 y antes de las versiones 13.5.8, 14.2.21 y 15.1.2, Next.js es vulnerable a un ataque de denegación de servicio (DoS) que permite a los atacantes construir solicitudes que dejan las solicitudes a las acciones del servidor colgadas hasta que el proveedor de alojamiento cancele la ejecución de la función. Esta vulnerabilidad también se puede utilizar como un ataque de denegación de cartera (DoW) cuando se implementa en proveedores que facturan por tiempos de respuesta. (Nota: el servidor Next.js está inactivo durante ese tiempo y solo mantiene la conexión abierta. El uso de CPU y memoria es bajo durante ese tiempo). Las implementaciones sin ninguna protección contra invocaciones de acciones del servidor de larga duración son especialmente vulnerables. Los proveedores de alojamiento como Vercel o Netlify establecen una duración máxima predeterminada en la ejecución de la función para reducir el riesgo de facturación excesiva. Este es el mismo problema que si la solicitud HTTP entrante tiene un encabezado `Content-Length` no válido o nunca se cierra. Si el host no tiene otras mitigaciones para estas, entonces esta vulnerabilidad es nueva. Esta vulnerabilidad afecta solo a las implementaciones de Next.js que utilizan Acciones del servidor. El problema se resolvió en Next.js 13.5.8, 14.2.21 y 15.1.2. Recomendamos que los usuarios actualicen a una versión segura. No existen workarounds oficiales.