Next.js是基于React的全栈Web应用开发框架,支持服务端渲染、静态站点生成、API 路由等核心能力。
近日,监测到官方修复Next.js服务器端请求伪造漏洞(CVE-2026-44578),该漏洞源于ebSocket Upgrade请求处理路径未应用与普通HTTP请求一致的安全检查策略,导致服务器会代理未经充分验证的外部目标请求。攻击者可以利用该漏洞,通过构造特制的WebSocket升级请求,迫使Next.js服务器向任意内部或外部地址发起请求,从而绕过网络边界防护,实现内网探测、敏感信息窃取以及云环境元数据服务访问等恶意行为。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
13.4.13 <= Next.js < 15.5.16
16.0.0 <= Next.js < 16.2.5
三、修复建议
官方已发布安全补丁,请及时更新至安全版本:
Next.js >= 15.5.16
Next.js 16.* >= 16.2.5
