Next.js Vulnerability Let Attackers Bypass Authentication
Next.js Vulnerability Let Attackers Bypass Authentication
A high-severity vulnerability has been discovered in the popular web framework, Next.js, which allows attackers to bypass authentication.
gbhackers.com
- 취약점 개요
- 영향 버전: 9.5.5부터 14.2.14까지
- 취약점 번호: CVE-2024-51479
- 위험도: CVSS v3 기준 7.5 (높음)
- 해결 버전: 14.2.15 이상
- 영향: 특정 라우트 접근 제어 우회로 인한 민감 데이터 노출 가능
- 원인 및 영향
- 패스네임(pathname) 기반 미들웨어로 접근 제한을 구현할 경우 우회 발생
- 무인증·저복잡도 공격 가능
- 특별한 권한이나 사용자 상호작용 불필요
- 주로 기밀성 위협 (무결성, 가용성은 영향 제한적)
- 업데이트 및 대응
- Next.js 14.2.15 이상 버전으로 즉시 업데이트 권장
- Vercel 호스팅 환경은 이미 자동으로 취약점 완화
- 공식 대체 방안 없음: 반드시 패치 버전 적용 필요
- 미들웨어 및 라우팅 정책 재점검:
- 민감 라우트 보안 설정 보강
- 접근 로그 모니터링 및 보안 감사 실시
- 결론
- 해당 취약점은 민감 라우트 접근 제어를 우회할 수 있어 위험도가 높음
- 루트 하위 경로 보안에 특히 주의하며, 즉각적 업데이트로 공격 노출 줄이는 것이 중요
'Kant's IT > Vulnerability' 카테고리의 다른 글
| Fortinet Wireless LAN Manager( FortiWLM )의 치명적 취약점 패치 (0) | 2025.01.01 |
|---|---|
| Sophos 방화벽의 치명적 취약점 3건 패치 완료 (0) | 2025.01.01 |
| OpenWrt, 치명적 취약점으로 악성 펌웨어 배포 위험 (0) | 2025.01.01 |
| Hitachi 인증 우회 취약점으로 원격 시스템 해킹 가능 (0) | 2025.01.01 |
| IBM AIX TCP/IP 취약점: 서비스 거부(DoS) 공격 위험 (0) | 2024.12.29 |