漏洞概述 | |||
漏洞名称 | Next.js 服务器端请求伪造漏洞 | ||
漏洞编号 | QVD-2026-26372,CVE-2026-44578 | ||
公开时间 | 2026-05-13 | 影响量级 | 百万级 |
奇安信评级 | 高危 | CVSS 3.1分数 | 8.6 |
威胁类型 | 信息泄露 | 利用可能性 | 高 |
POC状态 | 已公开 | 在野利用状态 | 未发现 |
EXP状态 | 已公开 | 技术细节状态 | 已公开 |
危害描述:攻击者可以利用该漏洞,通过构造特制的 WebSocket 升级请求绕过网络边界防护,实现内网探测、敏感信息窃取以及云环境元数据服务访问等恶意行为。 | |||
01 漏洞详情
影响组件
Next.js 是基于 React 的全栈 Web 应用开发框架,支持服务端渲染、静态站点生成、API 路由等核心能力,可快速构建高性能、SEO 友好的 Web 项目,广泛用于企业官网、电商平台、管理后台等场景,支持自定义 Node.js 服务器部署,具备灵活的路由与代理配置能力,是前端生态中主流的服务端渲染框架之一。
漏洞描述
近日,奇安信CERT监测到官方修复Next.js 服务器端请求伪造漏洞(CVE-2026-44578),该漏洞源于 WebSocket Upgrade 请求处理路径未应用与普通 HTTP 请求一致的安全检查策略,导致服务器会代理未经充分验证的外部目标请求。攻击者可以利用该漏洞,通过构造特制的 WebSocket 升级请求,迫使 Next.js 服务器向任意内部或外部地址发起请求,从而绕过网络边界防护,实现内网探测、敏感信息窃取以及云环境元数据服务访问等恶意行为。目前该漏洞PoC和技术细节已公开。鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。
02 影响范围
影响版本
13.4.13 <= Next.js < 15.5.16
16.0.0 <= Next.js < 16.2.5
其他受影响组件
无
03 复现情况
目前,奇安信威胁情报中心安全研究员已成功复现Next.js 服务器端请求伪造漏洞(CVE-2026-44578),截图如下:
04 受影响资产情况
奇安信鹰图资产测绘平台数据显示,Next.js 服务器端请求伪造漏洞(CVE-2026-44578)关联的国内风险资产总数为315672个,关联IP总数为79801个。国内风险资产分布情况如下:
Next.js 服务器端请求伪造漏洞(CVE-2026-44578)关联的全球风险资产总数为2392227个,关联IP总数858168个。全球风险资产分布情况如下:
05 处置建议
安全更新
官方已发布安全补丁,请及时更新至最新版本:
Next.js >= 15.5.16
Next.js 16.* >= 16.2.5
下载地址:
https://github.com/vercel/next.js/releases/tag/v15.5.16
https://github.com/vercel/next.js/releases/tag/v16.2.5
修复缓解措施:
1.在修复前,不要将 Next.js 源服务器直接暴露给不受信任的网络;
2.在反向代理(如 Nginx、Caddy、Apache)层阻断 WebSocket 升级请求(如果业务不需要 WebSocket)。
06 参考资料
[1]https://github.com/vercel/next.js/security/advisories/GHSA-c4j6-fc7j-m34r
声明:本文来自奇安信 CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
