https://github.com/advisories/GHSA-f82v-jwr5-mffw
尽快升级到最新版本。
如果无法短期内升级,拦截一切 HTTP Header 包含 x-middleware-subrequest 的请求。
受影响的版本:
>= 11.1.4, <= 13.5.6
>= 14.0, < 14.2.25
>= 15.0, < 15.2.3
官方 Patch 安全版本:
14.2.25
15.2.3
扫了一眼解决方案,这个给中间件的白名单请求头现在改成了一个随机的 8 字节 ID ,标识中间件子请求的来源,被添加到请求头 x-middleware-subrequest-id 。如果请求头中的 x-middleware-subrequest-id 与全局存储的 ID 不匹配,则删除 x-middleware-subrequest 请求头。此更改确保了只有来自相同会话的子请求才会被视为中间件子请求。 https://github.com/vercel/next.js/commit/52a078da3884efe6501613c7834a3d02a91676d2
 |
1
jaylee4869 OP Vercel 五天前就修了,很奇怪当时为什么没有将此漏洞公开。
|
Select Language