प्लेटफ़ॉर्म
nodejs
घटक
next
में ठीक किया गया
15.3.1
15.3.3
यह CVE-2025-49005 Next.js App Router में एक कैश पॉइज़निंग समस्या है। विशिष्ट परिस्थितियों में, जैसे कि मिडलवेयर और रीडायरेक्ट का उपयोग, RSC (React Server Components) पेलोड को कैश किया जा सकता है और HTML के स्थान पर परोसा जा सकता है। इससे एप्लिकेशन की कार्यक्षमता में अप्रत्याशित व्यवहार हो सकता है। यह समस्या Next.js के संस्करण 15.3.3 में ठीक की गई है।
इस भेद्यता का फायदा उठाकर, एक हमलावर RSC पेलोड को कैश करने और उसे HTML के स्थान पर परोसने के लिए Next.js App Router को प्रभावित कर सकता है। यह तब हो सकता है जब मिडलवेयर या रीडायरेक्ट का उपयोग किया जा रहा हो, और RSC पेलोड को गलत तरीके से कैश किया जा रहा हो। इससे उपयोगकर्ताओं को गलत या दूषित सामग्री दिखाई दे सकती है, या एप्लिकेशन पूरी तरह से काम करना बंद कर सकता है। इस भेद्यता का प्रभाव एप्लिकेशन की जटिलता और उपयोग के तरीके पर निर्भर करता है। यह विशेष रूप से उन अनुप्रयोगों के लिए चिंताजनक है जो संवेदनशील जानकारी प्रदर्शित करते हैं या उपयोगकर्ताओं को महत्वपूर्ण कार्य करने की अनुमति देते हैं।
CVE-2025-49005 को 2025-07-03 को प्रकाशित किया गया था। इसकी CVSS रेटिंग LOW (3.7) है, जो इंगित करता है कि इसका शोषण कम संभावना है। वर्तमान में, इस भेद्यता के लिए कोई सार्वजनिक रूप से उपलब्ध POC (प्रूफ-ऑफ-कॉन्सेप्ट) नहीं है, और सक्रिय शोषण अभियान के कोई संकेत नहीं हैं। NVD (National Vulnerability Database) और CISA (Cybersecurity and Infrastructure Security Agency) ने इस CVE के बारे में जानकारी प्रकाशित की है।
Organizations using Next.js App Router versions 15.3.0 through 15.3.2 are at risk. This includes developers building server-rendered React applications and those relying on Next.js's caching mechanisms for performance optimization. Applications with complex middleware configurations or extensive use of redirects are particularly vulnerable.
• nodejs / server: Inspect Next.js application logs for unusual caching patterns or errors related to RSC rendering.
grep -i 'rsc' /path/to/nextjs/logs/app.log• nodejs / server: Monitor application performance for unexpected delays or errors that could indicate malicious RSC payloads being served. • generic web: Check response headers for unexpected caching directives or unusual content-types. • generic web: Review application code for any custom middleware or redirect configurations that might be contributing to the vulnerability.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.13% (32% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-49005 को कम करने के लिए, Next.js के संस्करण 15.3.3 में तुरंत अपग्रेड करना आवश्यक है। अपग्रेड के बाद, सुनिश्चित करें कि एप्लिकेशन को ठीक से रीडेप्लॉय किया गया है ताकि कैशिंग व्यवहार सही हो। यदि अपग्रेड करना संभव नहीं है, तो मिडलवेयर और रीडायरेक्ट के उपयोग को सीमित करने पर विचार करें, और सुनिश्चित करें कि RSC पेलोड को सही तरीके से कैश नहीं किया जा रहा है। इसके अतिरिक्त, एप्लिकेशन के कैशिंग व्यवहार की निगरानी करें और किसी भी असामान्य गतिविधि के लिए सतर्क रहें। अपग्रेड के बाद, कैशिंग व्यवहार को सत्यापित करें ताकि यह सुनिश्चित हो सके कि RSC पेलोड सही ढंग से परोसे जा रहे हैं।
Actualice Next.js a la versión 15.3.3 o superior. Esto corrige la vulnerabilidad de envenenamiento de caché causada por la omisión del encabezado Vary. La actualización asegura que las respuestas HTML y los payloads de React Server Component (RSC) se manejen correctamente en la caché.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
यह Next.js App Router में एक कैश पॉइज़निंग भेद्यता है जो RSC पेलोड को गलत तरीके से कैश करने की अनुमति देती है।
यदि आप Next.js App Router के संस्करण 15.3.0 से 15.3.3 के बीच उपयोग कर रहे हैं, तो आप प्रभावित हैं।
Next.js के संस्करण 15.3.3 में अपग्रेड करें और एप्लिकेशन को रीडेप्लॉय करें।
वर्तमान में, इस भेद्यता के लिए कोई सार्वजनिक POC नहीं है और सक्रिय शोषण अभियान के कोई संकेत नहीं हैं।
अधिक जानकारी के लिए, Vercel के चेंजलॉग पर जाएं: [CVE-2025-49005](https://vercel.com/changelog/cve-2025-49005)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।