Sintesi

Rilasciati aggiornamenti di sicurezza che risolvono 2 vulnerabilità con gravità “alta” in Next.js, noto framework javascript basato su React e sviluppato da Vercel che permette di creare applicazioni web con rendering lato server e generazione statica delle pagine.

Tali vulnerabilità, qualora sfruttate, potrebbero consentire a un attaccante remoto di eseguire attacchi di tipo XSS (Cross-Site Scripting), SSRF (Server-Side Request Forgery) o eludere i meccanismi di sicurezza delle applicazioni Next.js.

Note: un Proof of Concept (PoC) per lo sfruttamento della vulnerabilità CVE-2024-34351 risulta disponibile in rete.

Tipologia

• Security Restrictions Bypass
• Data Manipulation

Prodotti e versioni affette

Next.js, versioni:

• 14.x.y, precedenti alla 14.1.1
• 13.4.x, precedenti alla 13.5.1

Azioni di mitigazione

Si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni dei bollettini di sicurezza riportati nella sezione Riferimenti.

Identificatori univoci vulnerabilità

CVE-2024-34351

CVE-2024-34350

Riferimenti

https://github.com/advisories/GHSA-77r5-gw3j-2mpf

https://github.com/advisories/GHSA-fr5h-rqp8-mj6g

https://nextjs.org/ 

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.