Improper CSP in Image Optimization API for Next.js

O Next.js nas versões 10.0.0 até 12.0.x tem uma falha na otimização de imagens que permite burlar proteções de segurança (CSP) quando SVGs são usados. Isso pode permitir que código malicioso execute nos navegadores dos usuários se o domínio de imagens aceitar SVGs enviados por usuários.

Existe um bypass de Content Security Policy (CSP) na API de Image Optimization do Next.js quando `images.domains` está configurado com hosts que permitem upload de SVG fornecidos por usuários e o carregador de imagem padrão é utilizado. Um atacante pode criar conteúdo SVG malicioso que contorna restrições de CSP, potencialmente levando a ataques de execução de script entre sites (XSS). A mitigação requer atualizar para a versão 12.1.0 ou configurar um `loader` não-padrão em `next.config.js`.