CVE-2021-37699
Open Redirect in Next.js versions below 11.1.0
Em resumo
O Next.js em versões anteriores à 11.1.0 permite que atacantes criem URLs especialmente codificadas que redirecionam usuários para sites externos maliciosos quando a página de erro é gerada estaticamente. Isso pode ser explorado para ataques de phishing, fazendo usuários confiarem em um redirecionamento de um domínio legítimo.
Detalhe técnico
Vulnerabilidade de redirecionamento aberto em páginas _error.js geradas estaticamente permite que atacantes contornem validação de redirecionamento através de manipulação de caminhos especialmente codificados, viabilizando redirecionamento para domínios controlados pelo atacante. Requer geração estática da página de erro e pode ser combinada com engenharia social.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Next.js is an open source website development framework to be used with the React library. In affected versions specially encoded paths could be used when pages/_error.js was statically generated allowing an open redirect to occur to an external site. In general, this redirect does not directly harm users although can allow for phishing attacks by redirecting to an attacker's domain from a trusted domain. We recommend everyone to upgrade regardless of whether you can reproduce the issue or not. The issue has been patched in release 11.1.0.
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:L/A:N
Produtos afetados
vercel · next.jsQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →