11.1.1
11.1.0
CVE-2021-37699 beschrijft een Open Redirect kwetsbaarheid in Next.js, een framework voor website ontwikkeling gebaseerd op React. Deze kwetsbaarheid kan misbruikt worden om gebruikers te redirecten naar kwaadaardige websites, wat kan leiden tot phishing aanvallen. De kwetsbaarheid treedt op in versies tussen 10.0.5 en 10.2.0, en tussen 11.0.0 en 11.0.1, specifiek wanneer pages/_error.js statisch gegenereerd wordt. Een update naar versie 11.1.0 lost dit probleem op.
Een succesvolle exploitatie van deze Open Redirect kwetsbaarheid kan leiden tot phishing aanvallen. Een aanvaller kan een kwaadaardige URL creëren die lijkt op een vertrouwde Next.js website, maar in werkelijkheid de gebruiker naar een externe, potentieel schadelijke website redirect. Dit kan gebruikt worden om gebruikers te misleiden om gevoelige informatie in te voeren, zoals inloggegevens of creditcardgegevens. De impact is vooral groot als de Next.js website wordt gebruikt voor authenticatie of transacties, omdat een aanvaller dan direct toegang kan krijgen tot gebruikersaccounts of financiële gegevens. Hoewel de redirect zelf geen directe schade toebrengt, is het een effectieve manier om gebruikers naar een kwaadaardige website te leiden.
Deze kwetsbaarheid is publiekelijk bekend en er zijn geen bekende actieve campagnes die deze specifiek exploiteren. Er zijn geen publieke proof-of-concept exploits beschikbaar, maar de eenvoud van de Open Redirect kwetsbaarheid maakt het waarschijnlijk dat er in de toekomst exploits zullen verschijnen. De kwetsbaarheid is opgenomen in het CISA KEV catalogus, wat de aandacht voor dit probleem onderstreept. De publicatiedatum van de CVE is 2021-08-12.
Organizations and developers using Next.js for website development, particularly those relying on the pages/_error.js file for error handling and static generation, are at risk. Shared hosting environments where multiple applications share the same server and configuration are also potentially vulnerable if they are running affected versions of Next.js.
• nodejs / server:
find /path/to/nextjs/pages/ -name _error.js -print• generic web:
curl -I https://your-nextjs-app.com/malicious-redirect | grep Location• generic web: Inspect access logs for requests containing suspicious redirect URLs (e.g., containing encoded characters or unusual domain names).
disclosure
Exploit Status
EPSS
0.43% (62% percentiel)
CVSS-vector
De primaire mitigatie voor CVE-2021-37699 is het upgraden van Next.js naar versie 11.1.0 of hoger. Deze versie bevat een correctie die de Open Redirect kwetsbaarheid elimineert. Als een directe upgrade niet mogelijk is, kan een tijdelijke workaround het gebruik van getInitialProps in pages/_error.js zijn om de statische generatie te voorkomen. Daarnaast kan het implementeren van een Web Application Firewall (WAF) helpen om verdachte redirects te detecteren en te blokkeren. Controleer de Next.js configuratie om er zeker van te zijn dat er geen onbedoelde redirects worden toegestaan. Na de upgrade, verifieer de correctie door te proberen een redirect te veroorzaken met een kwaadaardige URL en controleer of deze wordt geblokkeerd.
Actualiseer Next.js naar versie 11.1.0 of hoger. Dit zal de open redirect kwetsbaarheid oplossen. U kunt updaten met npm of yarn.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2021-37699 is a vulnerability in Next.js allowing attackers to redirect users to malicious sites via specially crafted URLs, potentially leading to phishing attacks. It affects versions 10.0.5-10.2.0 and 11.0.0-11.0.1.
You are affected if you are using Next.js versions 10.0.5 through 10.2.0 or 11.0.0 through 11.0.1 and utilizing pages/_error.js without proper input validation.
Upgrade to Next.js version 11.1.0 or later to resolve the vulnerability. As a temporary workaround, implement a WAF rule to block suspicious redirects.
There is currently no evidence of CVE-2021-37699 being actively exploited in the wild.
Refer to the Next.js security advisory: https://github.com/vercel/next.js/security/advisories/GHSA-5g9j-844x-993c
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.