Scanner gratuitement
Analyse en attenteCVE-2026-44574

CVE-2026-44574: Authorization Bypass in Next.js

Plateforme

nodejs

Composant

nextjs

Corrigé dans

15.5.16

Voir sur NVD
Sauvegarder

La vulnérabilité CVE-2026-44574 concerne un contournement d'autorisation dans Next.js. Elle permet à un attaquant de contourner les middleware de protection des routes dynamiques en manipulant les paramètres de requête. Cette faille affecte les versions 15.4.0–>= 16.0.0 et les versions antérieures à 16.2.5. Une correction a été déployée dans la version 15.5.16.

Impact et Scénarios d'Attaque

Cette vulnérabilité permet à un attaquant de contourner les mécanismes d'authentification et d'autorisation mis en place par les middleware de Next.js. En manipulant les paramètres de requête, l'attaquant peut altérer la valeur de la route dynamique vue par la page, tout en conservant le chemin visible inchangé. Cela lui permet d'accéder à du contenu protégé sans avoir à passer les vérifications de sécurité attendues. Par exemple, un attaquant pourrait contourner un middleware qui vérifie si un utilisateur est connecté pour accéder à une page réservée aux administrateurs. Le risque est d'une perte de confidentialité et d'intégrité des données, ainsi que d'une compromission potentielle du système.

Contexte d'Exploitation

La vulnérabilité CVE-2026-44574 a été publiée le 13 mai 2026. Sa probabilité d'exploitation est considérée comme moyenne, en raison de la nécessité d'une manipulation précise des paramètres de requête. Il n'y a pas d'indicateurs d'exploitation active à ce jour. Bien qu'il n'y ait pas de preuve d'exploitation publique, la nature de la vulnérabilité (contournement d'autorisation) en fait une cible potentielle pour les attaquants.

Renseignement sur les Menaces

Statut de l'Exploit

Preuve de ConceptInconnu
CISA KEVNO
Exposition InternetÉlevée
Rapports3 rapports de menace

Vecteur CVSS

RENSEIGNEMENT SUR LES MENACES· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N8.1HIGHAttack VectorNetworkComment l'attaquant atteint la cibleAttack ComplexityLowConditions requises pour exploiterPrivileges RequiredLowNiveau d'authentification requisUser InteractionNoneSi une action de la victime est requiseScopeUnchangedImpact au-delà du composant affectéConfidentialityHighRisque d'exposition de données sensiblesIntegrityHighRisque de modification non autorisée de donnéesAvailabilityNoneRisque d'interruption de servicenextguardhq.com · Score de base CVSS v3.1
Que signifient ces métriques?
Attack Vector
Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
Attack Complexity
Faible — aucune condition spéciale requise. Exploitable de manière fiable.
Privileges Required
Faible — tout compte utilisateur valide est suffisant.
User Interaction
Aucune — attaque automatique et silencieuse. La victime ne fait rien.
Scope
Inchangé — impact limité au composant vulnérable.
Confidentiality
Élevé — perte totale de confidentialité. L'attaquant peut lire toutes les données.
Integrity
Élevé — l'attaquant peut écrire, modifier ou supprimer toutes les données.
Availability
Aucun — aucun impact sur la disponibilité.

Logiciel Affecté

Composantnextjs
Fournisseurvercel
Version minimale15.4.0
Version maximale>= 16.0.0, < 16.2.5
Corrigé dans15.5.16

Classification de Faiblesse (CWE)

CWE-288

Chronologie

  1. Réservé
  2. Publiée

Mitigation et Contournements

La solution principale est de mettre à jour Next.js vers la version 15.5.16 ou ultérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution de contournement consiste à valider et normaliser rigoureusement les paramètres de route côté serveur, en s'assurant qu'ils correspondent aux attentes du middleware. Il est également recommandé d'examiner attentivement la configuration des middleware et de s'assurer qu'ils sont correctement configurés pour protéger les routes dynamiques. Après la mise à jour, vérifiez que le middleware fonctionne comme prévu en testant l'accès à des routes protégées avec des paramètres de requête manipulés.

Comment corrigertraduction en cours…

Actualice Next.js a la versión 15.5.16 o superior, o a la versión 16.2.5 o superior. Esta actualización corrige una vulnerabilidad de bypass de autorización en middleware que permite el acceso a contenido protegido sin la validación esperada.

Questions fréquentes

Que signifie CVE-2026-44574 — Contournement d'autorisation dans Next.js ?

CVE-2026-44574 décrit une vulnérabilité permettant de contourner les mécanismes d'autorisation dans Next.js, permettant un accès non autorisé à du contenu protégé. Elle affecte les versions 15.4.0–>= 16.0.0 et les versions antérieures à 16.2.5.

Suis-je affecté par CVE-2026-44574 dans Next.js ?

Vous êtes affecté si vous utilisez Next.js dans les versions 15.4.0–>= 16.0.0 ou les versions antérieures à 16.2.5 et que vous utilisez des middleware pour protéger des routes dynamiques.

Comment corriger CVE-2026-44574 dans Next.js ?

La correction consiste à mettre à jour Next.js vers la version 15.5.16 ou ultérieure. Si la mise à jour n'est pas possible immédiatement, validez et normalisez rigoureusement les paramètres de route côté serveur.

CVE-2026-44574 est-il activement exploité ?

À ce jour, il n'y a pas d'indicateurs d'exploitation active de CVE-2026-44574, mais la vulnérabilité reste une cible potentielle.

Où puis-je trouver l'avis officiel de Next.js pour CVE-2026-44574 ?

Consultez le site web de Next.js ou leurs canaux de communication officiels pour l'avis de sécurité concernant CVE-2026-44574.

Ton projet est-il affecté ?

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitementRechercher des CVE
en directfree scan

Essayez maintenant — sans compte

scanZone.subtitle

Scan manuelSlack/email alertsContinuous monitoringWhite-label reports

Glissez-déposez votre fichier de dépendances

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...