Gratis scannen
Analyse in behandelingCVE-2026-44574

CVE-2026-44574: Authorization Bypass in Next.js

Platform

nodejs

Component

nextjs

Opgelost in

15.5.16

Bekijk op NVD
Opslaan

CVE-2026-44574 beschrijft een autorisatie bypass kwetsbaarheid in Next.js. Deze kwetsbaarheid stelt aanvallers in staat om beschermde content te benaderen zonder de verwachte middleware checks te doorlopen. De kwetsbaarheid treft Next.js versies tussen 15.4.0 (inclusief) en 16.2.5 (exclusief). Een fix is beschikbaar in versie 15.5.16.

Impact en Aanvalsscenarios

Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot ongeautoriseerde toegang tot gevoelige informatie of functionaliteit binnen een Next.js applicatie. Aanvallers kunnen kwaadaardige query parameters gebruiken om de dynamische route waarde te manipuleren, waardoor de middleware, die bedoeld is om de toegang te controleren, omzeild wordt. Dit kan resulteren in het tonen van content die alleen toegankelijk zou moeten zijn voor geautoriseerde gebruikers. De impact is aanzienlijk, vooral in applicaties die sterk afhankelijk zijn van middleware voor authenticatie en autorisatie. Dit type bypass kan vergelijkbaar zijn met scenario's waarbij URL-manipulatie wordt gebruikt om beveiligingscontroles te omzeilen.

Uitbuitingscontext

Op het moment van publicatie (2026-05-13) is er geen informatie beschikbaar over actieve exploits of campagnes die deze kwetsbaarheid uitbuiten. De kwetsbaarheid is niet opgenomen in KEV. De CVSS score van 8.1 (HIGH) duidt op een significant risico, en het is waarschijnlijk dat deze kwetsbaarheid in de toekomst zal worden onderzocht door aanvallers. Raadpleeg de officiële Next.js security advisories voor updates over de exploitatie status.

Dreigingsinformatie

Exploit Status

Proof of ConceptOnbekend
CISA KEVNO
InternetblootstellingHoog
Rapporten3 dreigingsrapporten

CVSS-vector

DREIGINGSINFORMATIE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N8.1HIGHAttack VectorNetworkHoe de aanvaller het doel bereiktAttack ComplexityLowVereiste omstandigheden om te exploiterenPrivileges RequiredLowVereist authenticatieniveau voor aanvalUser InteractionNoneOf het slachtoffer actie moet ondernemenScopeUnchangedImpact buiten het getroffen onderdeelConfidentialityHighRisico op blootstelling van gevoelige dataIntegrityHighRisico op ongeautoriseerde gegevenswijzigingAvailabilityNoneRisico op verstoring van dienstennextguardhq.com · CVSS v3.1 Basisscore
Wat betekenen deze metrics?
Attack Vector
Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
Attack Complexity
Laag — geen speciale voorwaarden vereist. Betrouwbaar uitbuitbaar.
Privileges Required
Laag — elk geldig gebruikersaccount is voldoende.
User Interaction
Geen — automatische en stille aanval. Slachtoffer doet niets.
Scope
Ongewijzigd — impact beperkt tot het kwetsbare component.
Confidentiality
Hoog — volledig verlies van vertrouwelijkheid. Aanvaller kan alle gegevens lezen.
Integrity
Hoog — aanvaller kan alle gegevens schrijven, aanpassen of verwijderen.
Availability
Geen — geen beschikbaarheidsimpact.

Getroffen Software

Componentnextjs
Leveranciervercel
Minimumversie15.4.0
Maximumversie>= 16.0.0, < 16.2.5
Opgelost in15.5.16

Zwakheidsclassificatie (CWE)

CWE-288

Tijdlijn

  1. Gereserveerd
  2. Gepubliceerd

Mitigatie en Workarounds

De primaire mitigatie is het upgraden naar Next.js versie 15.5.16 of hoger. Deze versie bevat een correctie die voorkomt dat extern aangeleverde parameter encodings worden geaccepteerd in trusted routing flows. Als een upgrade momenteel niet mogelijk is, is het essentieel om de middleware configuratie te herzien en te zorgen voor strikte validatie van alle input parameters. Overweeg het implementeren van extra beveiligingslagen, zoals het verifiëren van de route parameters aan de client-side voordat de middleware wordt aangeroepen. Na de upgrade, bevestig de correctie door te proberen de kwetsbare route te benaderen met een kwaadaardige query parameter en controleer of de middleware correct functioneert.

Hoe te verhelpenwordt vertaald…

Actualice Next.js a la versión 15.5.16 o superior, o a la versión 16.2.5 o superior. Esta actualización corrige una vulnerabilidad de bypass de autorización en middleware que permite el acceso a contenido protegido sin la validación esperada.

Veelgestelde vragen

Wat is CVE-2026-44574 — Authorization Bypass in Next.js?

CVE-2026-44574 beschrijft een kwetsbaarheid in Next.js waardoor kwaadaardige query parameters middleware checks kunnen omzeilen, waardoor ongeautoriseerde toegang tot beschermde content mogelijk is.

Am I affected by CVE-2026-44574 in Next.js?

U bent mogelijk getroffen als u Next.js gebruikt in versie 15.4.0–>= 16.0.0, < 16.2.5. Controleer uw versie en upgrade indien nodig.

How do I fix CVE-2026-44574 in Next.js?

Upgrade naar Next.js versie 15.5.16 of hoger om deze kwetsbaarheid te verhelpen. Overweeg tijdelijke mitigaties zoals het verifiëren van route parameters aan de client-side.

Is CVE-2026-44574 being actively exploited?

Op dit moment zijn er geen bekende actieve exploits of campagnes die deze kwetsbaarheid uitbuiten, maar de hoge CVSS score suggereert een potentieel risico.

Where can I find the official Next.js advisory for CVE-2026-44574?

Raadpleeg de officiële Next.js security advisories op de Next.js website voor de meest actuele informatie en updates over deze kwetsbaarheid.

Is jouw project getroffen?

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannenCVEs zoeken
livefree scan

Probeer het nu — geen account

Upload een manifest (composer.lock, package-lock.json, WordPress pluginlijst…) of plak uw componentenlijst. U ontvangt direct een kwetsbaarheidsrapport. Een bestand uploaden is slechts het begin: met een account krijgt u continue monitoring, Slack/e-mail alerts, multi-project en white-label rapporten.

Manual scanSlack/email alertsscanZone.capMonitorWhite-label reports

Sleep uw afhankelijkheidsbestand hierheen

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...