Plattform
nodejs
Komponente
next
Behoben in
15.0.0
15.0.1
15.0.2
15.0.3
15.0.4
15.1.0
15.1.1
15.1.2
15.1.3
15.1.4
15.1.5
15.1.6
15.1.7
15.2.0
15.2.1
15.2.2
15.2.3
15.2.4
15.2.5
15.3.0
15.3.1
15.3.2
15.1.8
15.3.3
15.4.0
15.3.4
15.3.5
15.4.1
15.4.2
15.4.3
15.4.4
15.4.5
15.4.6
15.4.7
15.5.0
15.5.1
15.5.2
15.5.3
15.5.4
15.5.5
15.5.6
15.5.7
15.4.8
15.1.9
15.0.5
15.3.6
15.2.6
15.5.8
15.4.9
15.3.7
15.2.7
15.1.10
15.0.6
15.5.9
15.4.10
15.3.8
15.2.8
15.1.11
15.0.7
16.1.5
15.6.1
16.1.6
15.6.0-canary.61
16.1.5
CVE-2025-59472 describes a denial-of-service vulnerability within Next.js, specifically when Partial Prerendering (PPR) is enabled in minimal mode. This flaw allows an attacker to crash the server process by exploiting memory exhaustion through the PPR resume endpoint. The vulnerability impacts Next.js versions prior to 16.1.5 and requires the Next-Resume: 1 header to be present in unauthenticated POST requests.
CVE-2025-59472 betrifft Next.js-Anwendungen, die Partial Prerendering (PPR) verwenden, wenn sie im minimalen Modus ausgeführt werden. Es ermöglicht einem Angreifer, einen Denial-of-Service (DoS)-Angriff auszulösen, indem er den PPR-Wiederherstellungs-Endpunkt ausnutzt. Dieser Endpunkt akzeptiert nicht authentifizierte POST-Anfragen mit dem Header Next-Resume: 1 und verarbeitet vom Angreifer kontrollierte verzögerte Statusdaten. Die Schwachstelle zeigt sich in zwei verwandten Problemen: Erstens, ein unbegrenztes Puffern des POST-Anfragetexts, das übermäßige Speichermengen verbraucht. Zweitens, eine ineffiziente Handhabung dieser Daten, die zu Speicherausschöpfung und schließlich zum Absturz des Serverprozesses führt. Die CVSS-Schwere ist 5,9, was ein moderates Risiko anzeigt. Ein Upgrade auf Version 16.1.5 ist entscheidend, um dieses Risiko zu mindern.
Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er bösartige POST-Anfragen an den PPR-Wiederherstellungs-Endpunkt sendet, die einen extrem großen Anfragetext oder verzögerte Statusdaten enthalten, die darauf ausgelegt sind, eine übermäßige Speichermenge zu verbrauchen. Da der Endpunkt keine Authentifizierung erfordert, kann jeder mit Netzwerkzugriff versuchen, die Schwachstelle auszunutzen. Der minimale Modus in Next.js, der zur Leistungsoptimierung entwickelt wurde, wird in diesem Fall zum Angriffspunkt. Eine erfolgreiche Ausnutzung führt zu einem Denial-of-Service, der verhindert, dass der Server legitime Anfragen verarbeitet und die Verfügbarkeit der Anwendung beeinträchtigt. Das Fehlen einer Authentifizierung am Wiederherstellungs-Endpunkt ist der Schlüssel, der diese Ausnutzung ermöglicht.
Applications utilizing Next.js with Partial Prerendering (PPR) enabled in minimal mode are at risk. This includes deployments where PPR is used to improve initial load times and SEO, particularly those running in production environments with limited resource constraints. Shared hosting environments using Next.js are also potentially vulnerable.
• nodejs / server:
ps aux | grep -i nextjs• nodejs / server:
journalctl -u nextjs | grep -i "Buffer.concat"• nodejs / server:
curl -v -X POST -H 'Next-Resume: 1' --data-binary @/dev/null https://your-nextjs-app.com/resume | head -n 20disclosure
Exploit-Status
EPSS
0.09% (25% Perzentil)
CISA SSVC
CVSS-Vektor
Die primäre Lösung zur Minderung von CVE-2025-59472 ist ein Upgrade auf Next.js Version 16.1.5 oder höher. Diese Version enthält Korrekturen zur Behebung der Pufferungs- und Datenverarbeitungs-Schwachstellen. Wenn ein sofortiges Upgrade nicht möglich ist, sollten Sie vorübergehende Abschwächungsmaßnahmen ergreifen, z. B. die maximale Größe des POST-Anfragetexts auf Ihrem Server zu begrenzen. Überprüfen und sichern Sie außerdem Ihre PPR-Konfiguration, um sicherzustellen, dass nur autorisierte Anfragen auf den Wiederherstellungs-Endpunkt zugreifen können. Die Überwachung der Server-Speicherauslastung ist unerlässlich, um potenzielle DoS-Angriffe zu erkennen. Die Umsetzung dieser Maßnahmen trägt dazu bei, die Angriffsfläche zu verringern und Ihre Next.js-Anwendung zu schützen.
Actualice Next.js a la versión 15.6.0-canary.61 o superior, o a la versión 16.1.5 o superior. Esto corrige la vulnerabilidad de denegación de servicio causada por el manejo inseguro de datos en el endpoint PPR resume. Asegúrese de deshabilitar `experimental.ppr: true` o `cacheComponents: true` y eliminar la variable de entorno `NEXT_PRIVATE_MINIMAL_MODE=1` si no puede actualizar inmediatamente.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
PPR (Partial Prerendering) ist eine Next.js-Funktion, die es ermöglicht, einige Routen auf dem Server und andere auf dem Client zu rendern und so die Leistung zu optimieren. Die Schwachstelle liegt im PPR-Wiederherstellungs-Endpunkt, der zum Fortsetzen des Rendering-Prozesses verwendet wird.
Der minimale Modus in Next.js ist darauf ausgelegt, die Leistung zu optimieren, indem die Menge an Code, die auf dem Server ausgeführt wird, reduziert wird. In diesem Fall führt diese Optimierung jedoch zu einer Schwachstelle.
Wenn Sie PPR im minimalen Modus verwenden und nicht auf Version 16.1.5 oder höher aktualisiert haben, ist Ihre Anwendung anfällig.
Ja, Sie können die maximale Größe des POST-Anfragetexts begrenzen und Ihre PPR-Konfiguration überprüfen und sichern.
Überwachen Sie die Speicherauslastung des Servers, überprüfen Sie die Serverprotokolle auf verdächtige Aktivitäten und aktualisieren Sie auf Next.js Version 16.1.5 so schnell wie möglich.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.