मुफ्त स्कैन करें
विश्लेषण प्रतीक्षितCVE-2026-44574

CVE-2026-44574: Authorization Bypass in Next.js

प्लेटफ़ॉर्म

nodejs

घटक

nextjs

में ठीक किया गया

15.5.16

NVD पर देखें
सहेजें

CVE-2026-44574 Next.js में एक प्रमाणीकरण बाईपास भेद्यता है। यह भेद्यता उन अनुप्रयोगों को प्रभावित करती है जो गतिशील मार्गों की सुरक्षा के लिए मिडलवेयर पर निर्भर करते हैं। प्रभावित संस्करण 15.4.0–>= 16.0.0 और < 16.2.5 हैं। इस भेद्यता को 15.5.16 पर अपडेट करके ठीक किया गया है।

प्रभाव और हमले की स्थितियाँ

यह भेद्यता हमलावरों को विशेष रूप से तैयार किए गए क्वेरी पैरामीटर का उपयोग करके प्रमाणीकरण जांच को बायपास करने की अनुमति देती है। इससे हमलावर उन सामग्री को प्रस्तुत कर सकते हैं जो मिडलवेयर द्वारा संरक्षित है, बिना अपेक्षित जांच पास किए। दृश्य पथ अपरिवर्तित रहता है, जिससे यह बाईपास अधिक गुप्त हो जाता है। इस भेद्यता का उपयोग संवेदनशील डेटा तक अनधिकृत पहुंच प्राप्त करने, डेटा को संशोधित करने या दुर्भावनापूर्ण कोड निष्पादित करने के लिए किया जा सकता है। यह भेद्यता विशेष रूप से उन अनुप्रयोगों के लिए गंभीर है जो गतिशील मार्गों की सुरक्षा के लिए मिडलवेयर पर बहुत अधिक निर्भर करते हैं।

शोषण संदर्भ

CVE-2026-44574 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी उच्च गंभीरता को देखते हुए, इसका शोषण किया जा सकता है। इस भेद्यता के लिए कोई सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (POC) नहीं है, लेकिन भेद्यता का विवरण इंगित करता है कि इसका शोषण करना संभव है। CISA और NVD ने इस भेद्यता के बारे में जानकारी प्रकाशित की है।

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च
रिपोर्ट3 खतरा रिपोर्ट

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N8.1HIGHAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredLowहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityHighसंवेदनशील डेटा उजागर होने का जोखिमIntegrityHighअनधिकृत डेटा संशोधन का जोखिमAvailabilityNoneसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
निम्न — कोई भी वैध उपयोगकर्ता खाता पर्याप्त है।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
Integrity
उच्च — हमलावर कोई भी डेटा लिख, बदल या हटा सकता है।
Availability
कोई नहीं — उपलब्धता पर कोई प्रभाव नहीं।

प्रभावित सॉफ्टवेयर

घटकnextjs
विक्रेताvercel
न्यूनतम संस्करण15.4.0
अधिकतम संस्करण>= 16.0.0, < 16.2.5
में ठीक किया गया15.5.16

कमजोरी वर्गीकरण (CWE)

CWE-288

समयरेखा

  1. आरक्षित
  2. प्रकाशित

शमन और वर्कअराउंड

इस भेद्यता को कम करने के लिए, Next.js को संस्करण 15.5.16 या बाद के संस्करण में अपडेट करने की अनुशंसा की जाती है। यदि अपडेट करना संभव नहीं है, तो एक वर्कअराउंड के रूप में, मिडलवेयर में इनपुट सत्यापन को मजबूत करना और क्वेरी पैरामीटर को ठीक से सैनिटाइज करना आवश्यक है। यह सुनिश्चित करें कि मिडलवेयर केवल विश्वसनीय स्रोतों से आने वाले डेटा पर भरोसा करता है। वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके क्वेरी पैरामीटर में असामान्य एन्कोडिंग या हेरफेर का पता लगाया जा सकता है। अपडेट के बाद, यह पुष्टि करें कि प्रमाणीकरण जांच अपेक्षित रूप से काम कर रही है और अनधिकृत पहुंच को रोका जा रहा है।

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice Next.js a la versión 15.5.16 o superior, o a la versión 16.2.5 o superior. Esta actualización corrige una vulnerabilidad de bypass de autorización en middleware que permite el acceso a contenido protegido sin la validación esperada.

अक्सर पूछे जाने वाले सवाल

CVE-2026-44574 — प्रमाणीकरण बाईपास Next.js में क्या है?

CVE-2026-44574 Next.js में एक भेद्यता है जो हमलावरों को विशेष रूप से तैयार किए गए क्वेरी पैरामीटर का उपयोग करके प्रमाणीकरण जांच को बायपास करने की अनुमति देती है, जिससे अनधिकृत पहुंच हो सकती है।

क्या मैं CVE-2026-44574 से Next.js में प्रभावित हूं?

यदि आप Next.js के संस्करण 15.4.0–>= 16.0.0, < 16.2.5 चला रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।

मैं CVE-2026-44574 से Next.js को कैसे ठीक करूं?

Next.js को संस्करण 15.5.16 या बाद के संस्करण में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो मिडलवेयर में इनपुट सत्यापन को मजबूत करें।

क्या CVE-2026-44574 सक्रिय रूप से शोषण किया जा रहा है?

CVE-2026-44574 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी उच्च गंभीरता को देखते हुए, इसका शोषण किया जा सकता है।

मैं Next.js के लिए CVE-2026-44574 के लिए आधिकारिक सलाहकार कहां पा सकता हूं?

आप Next.js सुरक्षा सलाहकार यहां पा सकते हैं: [https://github.com/vercel/next.js/security/advisories/CVE-2026-44574](https://github.com/vercel/next.js/security/advisories/CVE-2026-44574)

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें
liveमुफ्त स्कैन

अभी आज़माएँ — no खाता

scanZone.subtitle

मैनुअल स्कैनSlack/email अलर्टContinuous monitoringscanZone.capReports

अपनी डिपेंडेंसी फ़ाइल ड्रैग और ड्रॉप करें

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...