bdu,anchore_overrides,nvd
Vercel
Уязвимости
81
Эксплуатируемые
1
Критический
6
Высокий
32
Топ продуктов
Топ уязвимостей
CVE-2025-55182Выполнение произвольного кода в React
BDU:2025-15156Уязвимость функции requireModule() пакетов react-server-dom-webpack, react-server-dom-parcel и react-server-dom-turbopack JavaScript библиотеки построения пользовательских интерфейсов React связана с недостатками механизма десериализации при обработке параметра hasOwnProperty. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем отправки специально сформированного HTTP-запроса
CVE-2026-45772Turborepo - это высокопроизводительная система сборки для кодовых баз JavaScript и TypeScript. С 1.1.0 до 2.9.14, Turborepo может быть уязвим для произвольного выполнения кода при запуске в ненадежных репозиториях, которые содержат вредоносную конфигурацию Yarn. В затронутых версиях обнаружение менеджера пакетов выполнило пряжу из каталога проекта, что может привести к тому, что Yarn загрузится и выполнит контролируемую проектом пряжу от .yrnrc.yml. Злоумышленник, который контролирует содержимое хранилища, может вызвать выполнение кода, когда пользователь или система CI запускает затронутые турбо, @turbo/codemod или команды преобразования @turbo/workspace. Эта уязвимость исправлена в 2.9.14.
CVE-2024-23741Проблема в Hyper в macOS версии 3.4.1 и ранее позволяет удаленным злоумышленникам выполнять произвольный код через настройки RunAsNode и enableNodeClilnspectArguments.
CVE-2025-29927Next.js - это фреймворк React для создания полноценных веб-приложений. В версиях с 1.11.4 до 12.3.5, 13.5.9, 14.2.25 и 15.2.3 существует возможность обойти проверки авторизации в приложении Next.js, если проверка авторизации происходит в middleware. Для версий Next.js, размещенных на Vercel, эта уязвимость автоматически защищена. Рекомендуется предотвратить доступ внешних пользовательских запросов, содержащих заголовок x-middleware-subrequest, к приложению Next.js [1].
Источники:
- [1] https://github.com/vercel/next.js/security/advisories/GHSA-f82v-jwr5-mffw
BDU:2025-03185Уязвимость механизма обработки заголовков x-middleware-subrequest программной платформы создания веб-приложений Next.js связана с недостатками процедуры авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти существующие ограничения безопасности путем отправки специально сформированного запроса
CVE-2026-44578Next.js - это React-фреймворк для создания веб-приложений с полным стеком. С 13.4.13 до 15.5.16 и 16.2.5 самостоятельные приложения, использующие встроенный сервер Node.js, могут быть уязвимы для подделки запросов на стороне сервера с помощью созданных запросов WebSocket. Злоумышленник может заставить сервер прокси-запросов на произвольные внутренние или внешние пункты назначения, что может обнажить внутренние службы или конечные точки метаданных облака. Вспомогательные развертывания, размещенные на Vercel, не пострадали. Эта уязвимость исправлена в пунктах 15.5.16 и 16.2.5.
BDU:2026-07000Уязвимость программной платформы создания веб-приложений Next.js связана с недостаточной проверкой запросов на стороне сервера. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации
CVE-2026-46508Turborepo - это высокопроизводительная система сборки для кодовых баз JavaScript и TypeScript. До 2.9.1400 расширение Turborepo LSP VS-кода может выполнять команды оболочки, полученные из значений, контролируемых рабочим пространством. В расширенном режиме использовалось выполнение команд на основе строк для команд и выполнения задач дамонов Turborepo. Вредоносное рабочее пространство может обеспечить созданные значения через параметры рабочего пространства или имена задач в исходном коде репозитория, которые были интерполированы в команды оболочки. Когда расширение активируется или когда пользователь запускает задачу через расширение, эти значения могут быть интерпретированы оболкой пользователя, что позволяет произвольное выполнение команды с привилегиями локального процесса VS Code. Эта уязвимость фиксируется в 2.9.14000.
CVE-2025-57822Next.js - это React-фреймворк для создания веб-приложений с полным стеком. До версий 14.2.32 и 15.4.7, когда следующий() использовался без явного прохождения объекта запроса, это могло привести к SSRF в самостоятельных приложениях, которые неправильно перенаправляли пользовательские заголовки. Эта уязвимость была исправлена в версиях Next.js 14.2.32 и 15.4.7. Всем пользователям, внедряющим пользовательскую логику промежуточного программного обеспечения в самостоятельных средах, настоятельно рекомендуется обновить и проверить правильное использование функции next().
CVE-2026-44574Next.js - это React-рама для создания веб-приложений с полным стеком. С 15.4.0 до 15.5.16 и 16.2.5 приложения, которые полагаются на промежуточный программныйстрой для защиты динамических маршрутов, могут быть уязвимы для авторизационного обхода. В затронутых развертываниях специально созданные параметры запроса могут изменять значение динамического маршрута, видимое страницей, оставляя видимый путь без изменения, что может позволить отображать защищенный контент без прохождения ожидаемой проверки промежутка программного обеспечения. Эта уязвимость зафиксирована в 15.5.16 и 16.2.5.
BDU:2026-06999Уязвимость программной платформы создания веб-приложений Next.js связана с обходом процедуры аутентификации посредством использования альтернативного пути или канала. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти существующие механизмы безопасности и получить несанкционированный доступ к защищаемой информации
CVE-2026-45109Получение конфиденциальной информации в Next.js
CVE-2026-44579Next.js - это React-фреймворк для создания веб-приложений с полным стеком. До 15.5.16 и 16.2.5 приложения, использующие Partial Prerendering через функцию компонентов кэша, могут быть уязвимы для исчерпания соединения через созданные POST-запросы к действиям сервера. В затронутых конфигурациях вредоносный запрос может вызвать тупик в обработке запроса и тела, который оставляет соединения открытыми в течение длительного периода времени, потребляя дескрипторы файлов и емкость сервера до тех пор, пока законным пользователям не будет отказано в обслуживании. Эта уязвимость исправлена в пунктах 15.5.16 и 16.2.5.
CVE-2026-44575Next.js - это React-рама для создания веб-приложений с полным стеком. С 15.2.0 до 15.5.16 и 16.2.5 приложения App Router, которые полагаются на промежуточный или прокси-прокси-прокси для авторизации, могут разрешить несанкционированный доступ через варианты маршрутов, специфичные для транспортировки, используемые для превьючти сегмента. В затронутых конфигурациях специально созданные URL-адреса .rsc и сегмент-префетч могут разрешаться на одну и ту же страницу, не соответствуя предполагаемому правилу промежуточности, которое может позволить достичь защищенного контента без ожидаемой проверки авторизации. Эта уязвимость зафиксирована в 15.5.16 и 16.2.5.
CVE-2026-44573Next.js - это React-рама для создания веб-приложений с полным стеком. С 12.2.0 до 15.5.16 и 16.2.5 Приложения, использующие Маршрутизатор Страниц с i18n с конфигурированным и промежуточным/прокси-серверным разрешением, могут обеспечить несанкционированный доступ к защищенным данным страниц через запросы без локальной /_next/data/<buildId>/<page>.json. В затронутых конфигурациях промежуточный аппарат не работает для непрекословного маршрута данных, что позволяет злоумышленнику получить SSR JSON для защищенных страниц без прохождения предполагаемых проверок авторизации. Эта уязвимость зафиксирована в 15.5.16 и 16.2.5.
CVE-2025-67779Было установлено, что исправление, адресованное CVE-2025-55184 в компонентах React Server, было неполным и не предотвращает атаку отказа в обслуживании в конкретном случае. Реагируйте Серверные компоненты версии 19.0.2, 19.1.3 и 19.2.2, что позволяет небезопасно дезьериализировать полезную нагрузку от HTTP-запросов на конечные точки функции сервера. Это может вызвать бесконечный цикл, который висит на серверный процесс и может предотвратить обслуживание будущих HTTP-запросов.
CVE-2025-59472Уязвимость отказа в обслуживании существует в версиях Next.js с частичной предрендеринговой (PPR), включенной при работе в минимальном режиме. Конечтальонная точка резюме PPR принимает неаутентифицированные запросы POST с заголовком «Следующее резюме: 1` и обрабатывает контролируемые злоумышленниками данные о состоянии». Две тесно связанные уязвимости позволяют злоумышленнику сломать процесс сервера из-за истощения памяти:
1. 1. **Неограниченный буферизация тела запроса**: сервер буферизует весь корпус запроса POST в память, используя `Buffer.concat()`` без обеспечения какого-либо ограничения размера, позволяя произвольно большие полезные нагрузки для исчерпания доступной памяти.
2. 2. **Неограниченная декомпрессия (zipbomb)**: Кэш данных резюме декомпрессируется с использованием `inflateSync()`` без ограничения размера декомпрессионного вывода. Небольшая сжатая полезная нагрузка может расширяться до сотен мегабайт или гигабайт, вызывая истощение памяти.
Оба вектора атаки приводят к фатальной ошибке V8 вне памяти (`FATAL ERROR: Reached heap limit Allocation не удалось - JavaScript куча из памяти'), в результате чего процесс Node.js прекращается. Вариант zipbomb особенно опасен, поскольку он может обходить обратные ограничения размера запроса прокси, в то же время вызывая большое распределение памяти на сервере.
Чтобы быть затронутым, вы должны иметь приложение, работающее с `experimental.ppr: true` или `cacheComponents: true` настроенным вместе с переменной среды NEXT_PRIVATE_MINIMAL_MODE=1.
Решительно рассмотреть вопрос о повышении до 15.6.0-канарей.61 или 16.1.5, чтобы снизить риск и предотвратить проблемы с доступностью в приложениях Next.
CVE-2025-59471Уязвимость отказа в обслуживании существует в собственных приложениях Next.js, которые имеют «remotePatterns` настроены для оптимизации изображений». Конечную точку (`/_next/image``) оптимизацию изображения полностью загружает внешние изображения в память без обеспечения максимального ограничения размера, что позволяет злоумышленнику вызывать вне памяти условия, запрашивая оптимизацию произвольно больших изображений. Эта уязвимость требует, чтобы «remotePatterns» настраивался для оптимизации изображения из внешних доменов и чтобы злоумышленник мог обслуживать или управлять большим изображением на разрешенном домене.
Решительно рассмотреть вопрос о повышении до 15.5.10 или 16.1.5, чтобы снизить риск и предотвратить проблемы с доступностью в приложениях Next.
CVE-2025-55184Уязвимость отказа в обслуживании перед аутентификацией существует в версиях React Server Components 19.0.0, 19.0.1 19.1.0, 19.1.1, 19.1.2, 19.2.0 и 19.2.1, включая следующие пакеты: ответ-сервер-дом-парсель, ответ-сервер-дом-турбок и ответ-сервер-дом-паутилька. Уязвимый код небезопасно дезериализирует полезную нагрузку от HTTP-запросов до конечных точек Server Function, что может вызвать бесконечный цикл, который висит на серверный процесс и может предотвратить обслуживание будущих HTTP-запросов.
CVE-2025-49826Next.js - это React-фреймворк для создания веб-приложений с полным стеком. Из версий 15.0.4-канарейки.51 до 15.1.8, в Next.js был обнаружен кэш-отравляющий баг, ведущий к состоянием отказа в обслуживании (DoS). Эта проблема не влияет на клиентов, размещенных на Vercel. При определенных условиях эта проблема может позволить кэшировать ответ HTTP 204 для статических страниц, что приводит к тому, что ответ 204 обслуживается всем пользователям, пытающихся получить доступ к странице. Этот вопрос рассматривается в версии 15.1.8.
CVE-2024-51479Next.js — это React-фреймворк для создания полностековых веб-приложений. В уязвимых версиях, если приложение Next.js выполняет авторизацию в промежуточном слое на основе pathname, можно было обойти эту авторизацию для страниц, находящихся непосредственно под корневым каталогом приложения. Например: * [Не затронуто] `https://example.com/` * [Затронуто] `https://example.com/foo` * [Не затронуто] `https://example.com/foo/bar`. Эта проблема исправлена в Next.js `14.2.15` и более поздних версиях. Если ваше приложение Next.js размещено на Vercel, эта уязвимость была автоматически устранена независимо от версии Next.js. Официальных обходных путей для этой уязвимости не существует.
CVE-2024-46982Next.js — это React-фреймворк для создания полнофункциональных веб-приложений. Отправляя специально созданный HTTP-запрос, можно отравить кеш нединамического маршрута, отображаемого на стороне сервера, в маршрутизаторе страниц (это не влияет на маршрутизатор приложений). Когда этот специально созданный запрос отправляется, он может заставить Next.js кешировать маршрут, который не предназначен для кеширования, и отправить заголовок `Cache-Control: s-maxage=1, stale-while-revalidate`, который некоторые вышестоящие CDN также могут кешировать. Чтобы потенциально пострадать, должны выполняться все следующие условия: 1. Next.js между версиями 13.5.1 и 14.2.9, 2. Использование маршрутизатора страниц, & 3. Использование нединамических маршрутов, отображаемых на стороне сервера, например `pages/dashboard.tsx`, а не `pages/blog/[slug].tsx`. Эта уязвимость была устранена в Next.js v13.5.7, v14.2.10 и более поздних версиях. Мы рекомендуем обновиться независимо от того, можете ли вы воспроизвести проблему или нет. Официальных или рекомендованных обходных путей для этой проблемы нет, мы рекомендуем пользователям установить патч до безопасной версии.
CVE-2024-39693Next.js — это фреймворк React. В Next.js была выявлена ситуация отказа в обслуживании (DoS). Эксплуатация ошибки может вызвать сбой, влияющий на доступность сервера. Эта уязвимость была устранена в Next.js 13.5 и более поздних версиях.
CVE-2024-34351Next.js — это фреймворк React, который может предоставлять строительные блоки для создания веб-приложений. В Next.js Server Actions была обнаружена уязвимость Server-Side Request Forgery (SSRF). Если заголовок `Host` изменен и также выполняются следующие условия, злоумышленник может выполнять запросы, которые, как кажется, исходят от самого сервера приложений Next.js. Необходимые условия: 1) Next.js работает автономно; 2) приложение Next.js использует Server Actions; и 3) Server Action выполняет перенаправление на относительный путь, который начинается с `/`. Эта уязвимость была исправлена в Next.js `14.1.1`.