Plattform
nodejs
Komponente
next
Behoben in
13.0.1
14.0.1
15.0.1
13.5.8
CVE-2024-56332 represents a Denial of Service (DoS) vulnerability discovered in Next.js, specifically concerning Server Actions. An attacker can craft malicious requests that cause Server Actions to remain in a pending state until the hosting provider terminates the function execution, leading to potential service disruption. This vulnerability primarily impacts Next.js versions before 13.5.8, and a fix has been released in version 13.5.8.
CVE-2024-56332 betrifft Next.js und ermöglicht einen Denial-of-Service (DoS)-Angriff. Angreifer können Anfragen erstellen, die Server Action-Aufrufe so lange in einem hängenden Zustand belassen, bis der Hosting-Anbieter die Funktionsausführung abbricht. Obwohl der Next.js-Server während dieser Zeit inaktiv bleibt und eine geringe CPU- und Speichernutzung aufweist, bleibt die Verbindung offen, wodurch andere Benutzer den Zugriff auf Ressourcen verweigert wird. Implementierungen ohne Schutz vor lang andauernden Server Actions sind besonders anfällig. Hosting-Anbieter wie Vercel oder Netlify legen eine Standardmaximalausführungszeit für Funktionen fest, und diese Schwachstelle ermöglicht es Angreifern, diese Grenze zu überschreiten und so einen Serviceausfall zu verursachen.
Diese Schwachstelle wird ausgenutzt, indem Server Actions erstellt werden, die eine übermäßige Ausführungszeit verbrauchen. Ein Angreifer könnte eine große Anzahl dieser Anfragen gleichzeitig senden, die Serverressourcen erschöpfen und so einen Denial-of-Service verursachen. Die einfache Erstellung und das Senden dieser Anfragen machen diese Schwachstelle relativ einfach auszunutzen. Das Fehlen angemessener Zeitlimits für Server Actions ermöglicht es Angreifern, Verbindungen unbegrenzt offen zu halten, selbst wenn die Funktion keine nützliche Arbeit verrichtet. Die asynchrone Natur von Server Actions erschwert die Erkennung von DoS-Angriffen, da der Server möglicherweise keine offensichtlichen Anzeichen einer Überlastung zeigt, bis es zu spät ist.
Applications utilizing Next.js Server Actions, particularly those deployed on shared hosting platforms like Vercel or Netlify, are at increased risk. Organizations relying on Server Actions for critical functionality or those with inadequate monitoring and alerting mechanisms are also more vulnerable.
• nodejs / server: Monitor Server Action execution times using application performance monitoring (APM) tools. Set alerts for actions exceeding a predefined threshold.
# Example: Using Node.js built-in process.hrtime to measure execution time
const start = process.hrtime();
// ... Server Action logic ...
const end = process.hrtime(start);
const executionTimeInSeconds = end[0] + end[1] / 1e9;
if (executionTimeInSeconds > 5) {
console.warn('Server Action exceeded timeout');
}• nodejs / server: Review application logs for unusual patterns of Server Action invocations, such as a high volume of requests from a single IP address or user. • nodejs / server: Implement rate limiting on Server Actions to restrict the number of requests from a single source within a given timeframe.
disclosure
Exploit-Status
EPSS
0.34% (57% Perzentil)
CISA SSVC
CVSS-Vektor
Die empfohlene Lösung ist ein Upgrade auf Next.js Version 13.5.8 oder höher. Diese Version enthält eine Korrektur, die das Risiko von DoS-Angriffen mindert. Implementieren Sie außerdem Mechanismen zum Schutz vor lang andauernden Server Actions, z. B. das Festlegen strengerer Ausführungszeitlimits auf Serverseite oder die Verwendung von Task-Abbruchtechniken. Es ist entscheidend, die Konfigurationen des Hosting-Anbieters zu überprüfen und anzupassen, um sicherzustellen, dass die Ausführungszeiten von Server Actions angemessen begrenzt sind. Die proaktive Überwachung von Server Actions und die Implementierung von Warnungen bei übermäßigen Ausführungszeiten können ebenfalls dazu beitragen, DoS-Angriffe zu erkennen und zu verhindern.
Actualice Next.js a la versión 13.5.8, 14.2.21 o 15.1.2, o a una versión posterior. Esto corrige la vulnerabilidad de denegación de servicio en Server Actions. Si no puede actualizar inmediatamente, considere implementar protecciones contra invocaciones de Server Actions de larga duración, como establecer un tiempo máximo de ejecución.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Server Actions sind Funktionen, die auf dem Next.js-Server ausgeführt werden und es ermöglichen, serverseitige Logik direkt vom Client auszuführen. Sie sind nützlich für Aufgaben wie Formularübermittlungen oder Datenbankaktualisierungen.
Version 13.5.8 enthält eine Korrektur für CVE-2024-56332, die das Risiko von Denial-of-Service (DoS)-Angriffen mindert.
Implementieren Sie strengere Ausführungszeitlimits für Ihre Server Actions und konfigurieren Sie Warnungen bei übermäßigen Ausführungszeiten. Überprüfen Sie die Konfiguration Ihres Hosting-Anbieters.
Überwachen Sie die Leistung Ihrer Server Actions und achten Sie auf ungewöhnlich lange Ausführungszeiten. Überprüfen Sie die Serverprotokolle auf Fehler im Zusammenhang mit Server Actions.
Application Performance Monitoring (APM)-Tools können helfen, Server Actions mit übermäßigen Ausführungszeiten zu identifizieren und Warnungen zu konfigurieren.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.