Impatto Sistemico

Alto (72.43)

Sintesi

Disponibile un Proof of Concept (PoC) per lo sfruttamento di una vulnerabilità – già sanata dal vendor – che riguarda Next.js, noto framework javascript per la creazione di applicazioni web. Tale vulnerabilità, qualora sfruttata, potrebbe consentire a un utente malintenzionato di compromettere la disponibilità del servizio sui sistemi interessati.

Tipologia

• Denial of Service

Descrizione e potenziali impatti

È stato recentemente reso pubblico un Proof of Concept (PoC) per lo sfruttamento di una vulnerabilità – di tipo “Denial of Service” e con score CVSS v3.x pari a 7.5 – che riguarda Next.js, e potrebbe consentire a un utente malintenzionato di compromettere la disponibilità del servizio sui sistemi interessati.

La vulnerabilità riguarda la componente cloneBodyStream presente in body-stream.ts . Tale funzione copia uno stream di dati nella memoria prima di passarli al middleware: a causa della mancanza di adeguati controlli sulla dimensione dei dati caricati in memoria, un utente malevolo potrebbe, tramite uno stream di dati sufficientemente grande, causare la saturazione della memoria del server e il conseguente crash.

Prodotti e versioni affette

Server Next.js self-hosted che utilizzano middleware (le applicazioni ospitate su Vercel non sono interessate)

• versione 15.5.4 e precedenti

Azioni di mitigazione

Si raccomanda di aggiornare i prodotti vulnerabili alla versione più recente disponibile, e comunque a una versione non inferiore alla 15.5.5.