XSS in Image Optimization API for Next.js versions between 10.0.0 and 11.1.0

Next.js versões 10.0.0 a 11.0.0 permitem que atacantes injetem código malicioso através de imagens SVG quando a API de otimização de imagens está configurada. Se um site permite que usuários enviem ou referenciem arquivos SVG de domínios configurados, atacantes podem executar JavaScript arbitrário nos navegadores dos visitantes.

Vulnerabilidade de cross-site scripting (XSS) na API de Otimização de Imagens do Next.js versões 10.0.0–11.0.0. Requer: (1) `images.domains` configurado em next.config.js, (2) domínio permitindo SVGs fornecidos por usuários, e (3) uso do carregador padrão (não custom loader ou Vercel). Payloads SVG em parâmetros de imagem contornam sanitização, permitindo execução de scripts arbitrários.