Platform
nodejs
Component
next
Opgelost in
15.3.1
15.3.3
CVE-2025-49005 beschrijft een cache poisoning probleem in Next.js App Router. Onder specifieke omstandigheden, met betrekking tot middleware en redirects, kunnen RSC payloads worden gecached en in plaats van HTML worden geserveerd, wat kan leiden tot onverwacht gedrag. Deze kwetsbaarheid treft Next.js versies >=15.3.0 en < 15.3.3 en is verholpen in Next.js 15.3.3. Upgrade en deploy direct om de caching correct te laten functioneren.
Een cache-poisoning kwetsbaarheid is geïdentificeerd in Next.js App Router, die de versies >=15.3.0 en <15.3.3 beïnvloedt. Deze kwetsbaarheid maakt het mogelijk om RSC-payloads (React Server Components) te cachen en te serveren in plaats van HTML, onder specifieke voorwaarden die middleware en redirects betreffen. Een aanvaller zou potentieel het gedrag van de applicatie kunnen manipuleren en incorrecte of kwaadaardige inhoud aan gebruikers kunnen serveren. De ernst van deze kwetsbaarheid vereist onmiddellijke aandacht om potentiële beveiligingsinbreuken te voorkomen en de integriteit van de applicatie te waarborgen.
De kwetsbaarheid manifesteert zich wanneer middleware en redirects op een specifieke manier worden gecombineerd. Een aanvaller zou een redirect kunnen creëren die, als gevolg van de middleware-configuratie, ervoor zorgt dat een RSC-payload verkeerd wordt gecached. Wanneer een gebruiker de betreffende route bezoekt, wordt de gecachte RSC-payload geserveerd in plaats van de verwachte HTML, wat kan leiden tot onverwacht gedrag of zelfs de presentatie van kwaadaardige inhoud. De complexiteit van de exploitatie hangt af van de specifieke applicatieconfiguratie en het vermogen van de aanvaller om redirects en middleware te manipuleren.
Organizations using Next.js App Router versions 15.3.0 through 15.3.2 are at risk. This includes developers building server-rendered React applications and those relying on Next.js's caching mechanisms for performance optimization. Applications with complex middleware configurations or extensive use of redirects are particularly vulnerable.
• nodejs / server: Inspect Next.js application logs for unusual caching patterns or errors related to RSC rendering.
grep -i 'rsc' /path/to/nextjs/logs/app.log• nodejs / server: Monitor application performance for unexpected delays or errors that could indicate malicious RSC payloads being served. • generic web: Check response headers for unexpected caching directives or unusual content-types. • generic web: Review application code for any custom middleware or redirect configurations that might be contributing to the vulnerability.
disclosure
Exploit Status
EPSS
0.13% (32% percentiel)
CISA SSVC
CVSS-vector
De aanbevolen oplossing is om onmiddellijk te upgraden naar Next.js versie 15.3.3 of hoger. Na de upgrade is een volledige applicatie-redistributie cruciaal om ervoor te zorgen dat de cache wordt gewist en de correcties worden toegepast. Het is ook aan te raden om de configuratie van middleware en redirects te controleren om potentiële scenario's te identificeren waarin deze kwetsbaarheid mogelijk is uitgebuit. Het monitoren van applicatielogboeken na de upgrade kan helpen bij het detecteren van ongebruikelijk cache-gerelateerd gedrag. De upgrade en redistributie zijn essentiële stappen om dit risico te beperken.
Actualice Next.js a la versión 15.3.3 o superior. Esto corrige la vulnerabilidad de envenenamiento de caché causada por la omisión del encabezado Vary. La actualización asegura que las respuestas HTML y los payloads de React Server Component (RSC) se manejen correctamente en la caché.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Cache-poisoning treedt op wanneer een aanvaller de cache van een applicatie manipuleert om incorrecte of kwaadaardige inhoud te serveren. In dit geval wordt een fout uitgebuit in de manier waarop Next.js het cachen van RSC's beheert.
Als u Next.js App Router gebruikt in versies >=15.3.0 en <15.3.3, is de kans groot dat u is getroffen. Controleer de configuratie van uw middleware en redirects op patronen die mogelijk kunnen worden uitgebuit.
Als een onmiddellijke upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen te nemen om het risico te beperken, zoals het tijdelijk uitschakelen van problematische redirects of middleware. Dit mag echter alleen als een tijdelijke oplossing worden beschouwd.
Momenteel zijn er geen specifieke tools beschikbaar om deze kwetsbaarheid te detecteren. Een handmatige code-review, met name van de configuratie van middleware en redirects, is echter de beste manier om potentiële problemen te identificeren.
U kunt meer informatie over deze kwetsbaarheid vinden op de Vercel-website: [CVE-2025-49005](https://vercel.com/changelog/cve-2025-49005)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.