प्लेटफ़ॉर्म
nodejs
घटक
next
में ठीक किया गया
15.0.0
15.0.1
15.0.2
15.0.3
15.0.4
15.1.0
15.1.1
15.1.2
15.1.3
15.1.4
15.1.5
15.1.6
15.1.7
15.2.0
15.2.1
15.2.2
15.2.3
15.2.4
15.2.5
15.3.0
15.3.1
15.3.2
15.1.8
15.3.3
15.4.0
15.3.4
15.3.5
15.4.1
15.4.2
15.4.3
15.4.4
15.4.5
15.4.6
15.4.7
15.5.0
15.5.1
15.5.2
15.5.3
15.5.4
15.5.5
15.5.6
15.5.7
15.4.8
15.1.9
15.0.5
15.3.6
15.2.6
15.5.8
15.4.9
15.3.7
15.2.7
15.1.10
15.0.6
15.5.9
15.4.10
15.3.8
15.2.8
15.1.11
15.0.7
16.1.5
15.6.1
16.1.6
15.6.0-canary.61
16.1.5
Next.js में आंशिक प्री-रेंडरिंग (PPR) सुविधा के साथ एक सेवा से इनकार (DoS) भेद्यता पाई गई है, खासकर जब न्यूनतम मोड में चल रहा हो। यह भेद्यता तब उत्पन्न होती है जब हमलावर बिना प्रमाणीकरण के Next-Resume: 1 हेडर के साथ POST अनुरोध भेजता है और हमलावर-नियंत्रित विलंबित स्टेट डेटा को संसाधित करता है। अनबाउंड अनुरोध बॉडी बफरिंग के कारण, सर्वर मेमोरी को खत्म कर सकता है, जिससे सर्वर क्रैश हो सकता है। यह भेद्यता Next.js के उन वर्जन को प्रभावित करती है जिनमें PPR सक्षम है, और वर्जन 16.1.5 में इसका समाधान किया गया है।
CVE-2025-59472 उन Next.js अनुप्रयोगों को प्रभावित करता है जो न्यूनतम मोड में चलने पर आंशिक प्री-रेंडरिंग (PPR) का उपयोग करते हैं। यह एक हमलावर को PPR रीस्टार्ट एंडपॉइंट का शोषण करके डिनायल-ऑफ-सर्विस (DoS) हमला करने की अनुमति देता है। यह एंडपॉइंट Next-Resume: 1 हेडर के साथ प्रमाणीकरण रहित POST अनुरोध स्वीकार करता है और हमलावर द्वारा नियंत्रित विलंबित स्थिति डेटा को संसाधित करता है। यह भेद्यता दो संबंधित मुद्दों के रूप में प्रकट होती है: पहला, POST अनुरोध बॉडी का असीमित बफरिंग, जिससे अत्यधिक मेमोरी की खपत होती है। दूसरा, इन डेटा को कुशलतापूर्वक संभालने में विफलता, जिससे मेमोरी की कमी होती है और अंततः सर्वर प्रक्रिया क्रैश हो जाती है। CVSS गंभीरता 5.9 है, जो एक मध्यम जोखिम का संकेत देती है। इस जोखिम को कम करने के लिए संस्करण 16.1.5 में अपग्रेड करना महत्वपूर्ण है।
एक हमलावर अत्यधिक बड़े अनुरोध बॉडी या विलंबित स्थिति डेटा के साथ PPR रीस्टार्ट एंडपॉइंट पर दुर्भावनापूर्ण POST अनुरोध भेजकर इस भेद्यता का फायदा उठा सकता है, जिसे अत्यधिक मात्रा में मेमोरी का उपभोग करने के लिए डिज़ाइन किया गया है। चूंकि एंडपॉइंट को प्रमाणीकरण की आवश्यकता नहीं होती है, इसलिए नेटवर्क एक्सेस रखने वाला कोई भी व्यक्ति इस भेद्यता का फायदा उठाने का प्रयास कर सकता है। Next.js में न्यूनतम मोड, जिसे प्रदर्शन को अनुकूलित करने के लिए डिज़ाइन किया गया है, इस मामले में हमले का वेक्टर बन जाता है। सफल शोषण से डिनायल-ऑफ-सर्विस होता है, जिससे सर्वर वैध अनुरोधों को संसाधित करने से रोका जाता है और एप्लिकेशन की उपलब्धता प्रभावित होती है। रीस्टार्ट एंडपॉइंट पर प्रमाणीकरण की कमी इस शोषण को सक्षम करने वाला प्रमुख कारक है।
Applications utilizing Next.js with Partial Prerendering (PPR) enabled in minimal mode are at risk. This includes deployments where PPR is used to improve initial load times and SEO, particularly those running in production environments with limited resource constraints. Shared hosting environments using Next.js are also potentially vulnerable.
• nodejs / server:
ps aux | grep -i nextjs• nodejs / server:
journalctl -u nextjs | grep -i "Buffer.concat"• nodejs / server:
curl -v -X POST -H 'Next-Resume: 1' --data-binary @/dev/null https://your-nextjs-app.com/resume | head -n 20disclosure
एक्सप्लॉइट स्थिति
EPSS
0.09% (25% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-59472 को कम करने का मुख्य समाधान Next.js के संस्करण 16.1.5 या उच्चतर में अपग्रेड करना है। इस संस्करण में बफरिंग और डेटा प्रोसेसिंग कमजोरियों को संबोधित करने के लिए फिक्स शामिल हैं। यदि तत्काल अपग्रेड संभव नहीं है, तो अपने सर्वर पर POST अनुरोध बॉडी के अधिकतम आकार को सीमित करने जैसे अस्थायी शमन उपायों को लागू करने पर विचार करें। इसके अतिरिक्त, अपने PPR कॉन्फ़िगरेशन की समीक्षा और सुरक्षित करें, यह सुनिश्चित करें कि केवल अधिकृत अनुरोध ही रीस्टार्ट एंडपॉइंट तक पहुंच सकें। संभावित DoS हमलों का पता लगाने के लिए सर्वर मेमोरी उपयोग की निगरानी करना आवश्यक है। इन उपायों को लागू करने से हमले की सतह को कम करने और आपके Next.js एप्लिकेशन की सुरक्षा करने में मदद मिलेगी।
Actualice Next.js a la versión 15.6.0-canary.61 o superior, o a la versión 16.1.5 o superior. Esto corrige la vulnerabilidad de denegación de servicio causada por el manejo inseguro de datos en el endpoint PPR resume. Asegúrese de deshabilitar `experimental.ppr: true` o `cacheComponents: true` y eliminar la variable de entorno `NEXT_PRIVATE_MINIMAL_MODE=1` si no puede actualizar inmediatamente.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
PPR (आंशिक प्री-रेंडरिंग) Next.js की एक सुविधा है जो कुछ मार्गों को सर्वर-साइड पर और अन्य को क्लाइंट-साइड पर रेंडर करके प्रदर्शन को अनुकूलित करती है। भेद्यता PPR रीस्टार्ट एंडपॉइंट में निहित है, जिसका उपयोग रेंडरिंग प्रक्रिया को फिर से शुरू करने के लिए किया जाता है।
Next.js में न्यूनतम मोड को सर्वर-साइड पर निष्पादित किए जा रहे कोड की मात्रा को कम करके प्रदर्शन को अनुकूलित करने के लिए डिज़ाइन किया गया है। हालांकि, इस मामले में, यह अनुकूलन एक भेद्यता को उजागर करता है।
यदि आप न्यूनतम मोड में PPR का उपयोग कर रहे हैं और संस्करण 16.1.5 या उच्चतर में अपग्रेड नहीं किया है, तो आपका एप्लिकेशन कमजोर है।
हां, आप POST अनुरोध बॉडी के अधिकतम आकार को सीमित कर सकते हैं और अपने PPR कॉन्फ़िगरेशन की समीक्षा और सुरक्षित कर सकते हैं।
सर्वर मेमोरी उपयोग की निगरानी करें, संदिग्ध गतिविधि के लिए सर्वर लॉग की जांच करें और जितनी जल्दी हो सके Next.js के संस्करण 16.1.5 में अपग्रेड करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।