← voltar
CVE-2025-49826

Next.js DoS vulnerability via cache poisoning

CVSS 7.5 HIGHEPSS 0.8%CWE-444
Em resumo

Next.js possui um erro de cache que pode fazer o servidor responder com um erro 204 (sem conteúdo) para todos os usuários que tentam acessar uma página, deixando ela indisponível. Um atacante pode provocar isso enviando requisições HTTP específicas, interrompendo o serviço para todos.

Detalhe técnico

Uma vulnerabilidade de envenenamento de cache no Next.js versões 15.0.4-canary.51 até 15.1.7 permite que respostas HTTP 204 sejam incorretamente armazenadas em cache para páginas estáticas sob certas condições, causando negação de serviço. O vetor de ataque envolve requisições HTTP que disparam armazenamento incorreto em cache, afetando todas as requisições subsequentes à página envenenada. Corrigido na versão 15.1.8.

Resumo gerado e traduzido por IA a partir da descrição oficial.
Next.js is a React framework for building full-stack web applications. From versions 15.0.4-canary.51 to before 15.1.8, a cache poisoning bug leading to a Denial of Service (DoS) condition was found in Next.js. This issue does not impact customers hosted on Vercel. Under certain conditions, this issue may allow a HTTP 204 response to be cached for static pages, leading to the 204 response being served to all users attempting to access the page. This issue has been addressed in version 15.1.8.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Produtos afetados
vercel · next.js

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://github.com/vercel/next.js/commit/a15b974ed707d63ad4da5b74c1441f5b7b120e93https://github.com/vercel/next.js/releases/tag/v15.1.8https://github.com/vercel/next.js/security/advisories/GHSA-67rr-84xm-4c7rhttps://vercel.com/changelog/cve-2025-49826