Plateforme
nodejs
Composant
next
Corrigé dans
15.0.0
15.0.1
15.0.2
15.0.3
15.0.4
15.1.0
15.1.1
15.1.2
15.1.3
15.1.4
15.1.5
15.1.6
15.1.7
15.2.0
15.2.1
15.2.2
15.2.3
15.2.4
15.2.5
15.3.0
15.3.1
15.3.2
15.1.8
15.3.3
15.4.0
15.3.4
15.3.5
15.4.1
15.4.2
15.4.3
15.4.4
15.4.5
15.4.6
15.4.7
15.5.0
15.5.1
15.5.2
15.5.3
15.5.4
15.5.5
15.5.6
15.5.7
15.4.8
15.1.9
15.0.5
15.3.6
15.2.6
15.5.8
15.4.9
15.3.7
15.2.7
15.1.10
15.0.6
15.5.9
15.4.10
15.3.8
15.2.8
15.1.11
15.0.7
16.1.5
15.6.1
16.1.6
15.6.0-canary.61
16.1.5
Une vulnérabilité de déni de service (DoS) a été découverte dans Next.js, spécifiquement dans les versions utilisant Partial Prerendering (PPR) et fonctionnant en mode minimal. Cette faille exploite le point d'entrée de reprise PPR, qui accepte des requêtes POST non authentifiées avec l'en-tête Next-Resume: 1 et traite des données d'état différées contrôlées par l'attaquant. L'attaquant peut provoquer un épuisement de la mémoire et faire planter le serveur en exploitant un tampon de corps de requête non borné. La vulnérabilité est corrigée dans la version 16.1.5.
La vulnérabilité CVE-2025-59472 affecte les applications Next.js utilisant le Pré-rendu Partiel (PPR) lorsqu'elles fonctionnent en mode minimal. Elle permet à un attaquant de provoquer un déni de service (DoS) en exploitant le point d'entrée de reprise du PPR. Ce point d'entrée accepte des requêtes POST non authentifiées avec l'en-tête Next-Resume: 1 et traite des données d'état différées contrôlées par l'attaquant. La vulnérabilité se manifeste en deux problèmes liés : premièrement, un stockage en mémoire tampon non limité du corps de la requête POST, ce qui consomme une mémoire excessive. Deuxièmement, une gestion inefficace de ces données, entraînant un épuisement de la mémoire et, finalement, le plantage du processus du serveur. La sévérité CVSS est de 5,9, ce qui indique un risque modéré. La mise à niveau vers la version 16.1.5 est essentielle pour atténuer ce risque.
Un attaquant pourrait exploiter cette vulnérabilité en envoyant des requêtes POST malveillantes au point d'entrée de reprise du PPR avec un corps de requête extrêmement volumineux ou des données d'état différées conçues pour consommer une quantité excessive de mémoire. Étant donné que le point d'entrée ne nécessite pas d'authentification, toute personne ayant accès au réseau peut tenter d'exploiter la vulnérabilité. Le mode minimal dans Next.js, conçu pour optimiser les performances, devient le vecteur d'attaque dans ce cas. L'exploitation réussie entraîne un déni de service, empêchant le serveur de traiter les requêtes légitimes et affectant la disponibilité de l'application. L'absence d'authentification au point d'entrée de reprise est l'élément clé qui permet cette exploitation.
Applications utilizing Next.js with Partial Prerendering (PPR) enabled in minimal mode are at risk. This includes deployments where PPR is used to improve initial load times and SEO, particularly those running in production environments with limited resource constraints. Shared hosting environments using Next.js are also potentially vulnerable.
• nodejs / server:
ps aux | grep -i nextjs• nodejs / server:
journalctl -u nextjs | grep -i "Buffer.concat"• nodejs / server:
curl -v -X POST -H 'Next-Resume: 1' --data-binary @/dev/null https://your-nextjs-app.com/resume | head -n 20disclosure
Statut de l'Exploit
EPSS
0.09% (percentile 25%)
CISA SSVC
Vecteur CVSS
La solution principale pour atténuer CVE-2025-59472 est de mettre à niveau vers la version 16.1.5 de Next.js ou supérieure. Cette version inclut des correctifs pour résoudre les vulnérabilités de stockage en mémoire tampon et de traitement des données. Si la mise à niveau immédiate n'est pas possible, envisagez de mettre en œuvre des mesures d'atténuation temporaires telles que la limitation de la taille maximale du corps de la requête POST sur votre serveur. De plus, examinez et sécurisez votre configuration PPR, en vous assurant que seules les requêtes autorisées peuvent accéder au point d'entrée de reprise. La surveillance de l'utilisation de la mémoire du serveur est essentielle pour détecter les attaques DoS potentielles. La mise en œuvre de ces mesures aidera à réduire la surface d'attaque et à protéger votre application Next.js.
Actualice Next.js a la versión 15.6.0-canary.61 o superior, o a la versión 16.1.5 o superior. Esto corrige la vulnerabilidad de denegación de servicio causada por el manejo inseguro de datos en el endpoint PPR resume. Asegúrese de deshabilitar `experimental.ppr: true` o `cacheComponents: true` y eliminar la variable de entorno `NEXT_PRIVATE_MINIMAL_MODE=1` si no puede actualizar inmediatamente.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
PPR (Pré-rendu Partiel) est une fonctionnalité de Next.js qui permet de rendre certaines routes côté serveur et d'autres côté client, optimisant ainsi les performances. La vulnérabilité réside dans le point d'entrée de reprise du PPR, qui est utilisé pour reprendre le processus de rendu.
Le mode minimal dans Next.js est conçu pour optimiser les performances en réduisant la quantité de code exécutée côté serveur. Cependant, dans ce cas, cette optimisation expose une vulnérabilité.
Si vous utilisez le PPR en mode minimal et que vous n'avez pas mis à niveau vers la version 16.1.5 ou supérieure, votre application est vulnérable.
Oui, vous pouvez limiter la taille maximale du corps de la requête POST et examiner et sécuriser votre configuration PPR.
Surveillez l'utilisation de la mémoire du serveur, examinez les journaux du serveur à la recherche d'activités suspectes et mettez à niveau vers la version 16.1.5 de Next.js dès que possible.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.