Platform
nodejs
Component
next
Opgelost in
15.0.0
15.0.1
15.0.2
15.0.3
15.0.4
15.1.0
15.1.1
15.1.2
15.1.3
15.1.4
15.1.5
15.1.6
15.1.7
15.2.0
15.2.1
15.2.2
15.2.3
15.2.4
15.2.5
15.3.0
15.3.1
15.3.2
15.1.8
15.3.3
15.4.0
15.3.4
15.3.5
15.4.1
15.4.2
15.4.3
15.4.4
15.4.5
15.4.6
15.4.7
15.5.0
15.5.1
15.5.2
15.5.3
15.5.4
15.5.5
15.5.6
15.5.7
15.4.8
15.1.9
15.0.5
15.3.6
15.2.6
15.5.8
15.4.9
15.3.7
15.2.7
15.1.10
15.0.6
15.5.9
15.4.10
15.3.8
15.2.8
15.1.11
15.0.7
16.1.5
15.6.1
16.1.6
15.6.0-canary.61
16.1.5
CVE-2025-59472 is een Denial of Service (DoS) kwetsbaarheid ontdekt in Next.js, specifiek in versies met Partial Prerendering (PPR) ingeschakeld en in minimal mode. Een aanvaller kan deze kwetsbaarheid misbruiken om de server te laten crashen door middel van geheugenuitputting, veroorzaakt door het verwerken van grote, ongecontroleerde POST-verzoeken. Deze kwetsbaarheid beïnvloedt Next.js versies die PPR gebruiken in minimal mode. Een patch is beschikbaar in versie 16.1.5.
CVE-2025-59472 treft Next.js-applicaties die Partial Prerendering (PPR) gebruiken wanneer ze in minimale modus draaien. Het stelt een aanvaller in staat een Denial of Service (DoS) aan te vallen door het PPR-resume endpoint te exploiteren. Dit endpoint accepteert niet-geauthenticeerde POST-verzoeken met de header Next-Resume: 1 en verwerkt door de aanvaller gecontroleerde uitgestelde statusgegevens. De kwetsbaarheid manifesteert zich in twee gerelateerde problemen: ten eerste, onbeperkt bufferen van de POST-verzoekbody, wat overmatige geheugenconsumptie veroorzaakt. Ten tweede, inefficiënte verwerking van deze gegevens, wat leidt tot geheugenuitputting en uiteindelijk het crashen van het serverproces. De CVSS-severity is 5.9, wat een matig risico aangeeft. Het upgraden naar versie 16.1.5 is cruciaal om dit risico te beperken.
Een aanvaller zou deze kwetsbaarheid kunnen exploiteren door kwaadaardige POST-verzoeken naar het PPR-resume endpoint te sturen met een extreem grote verzoekbody of uitgestelde statusgegevens die zijn ontworpen om een overmatige hoeveelheid geheugen te verbruiken. Aangezien het endpoint geen authenticatie vereist, kan iedereen met netwerktoegang proberen de kwetsbaarheid te exploiteren. De minimale modus in Next.js, die is ontworpen om de prestaties te optimaliseren, wordt in dit geval het aanvalspunt. Een succesvolle exploitatie leidt tot een denial of service, waardoor de server legitieme verzoeken niet kan verwerken en de beschikbaarheid van de applicatie wordt beïnvloed. Het ontbreken van authenticatie bij het resume-endpoint is de belangrijkste factor die deze exploitatie mogelijk maakt.
Applications utilizing Next.js with Partial Prerendering (PPR) enabled in minimal mode are at risk. This includes deployments where PPR is used to improve initial load times and SEO, particularly those running in production environments with limited resource constraints. Shared hosting environments using Next.js are also potentially vulnerable.
• nodejs / server:
ps aux | grep -i nextjs• nodejs / server:
journalctl -u nextjs | grep -i "Buffer.concat"• nodejs / server:
curl -v -X POST -H 'Next-Resume: 1' --data-binary @/dev/null https://your-nextjs-app.com/resume | head -n 20disclosure
Exploit Status
EPSS
0.09% (25% percentiel)
CISA SSVC
CVSS-vector
De belangrijkste oplossing om CVE-2025-59472 te beperken is het upgraden naar Next.js versie 16.1.5 of hoger. Deze versie bevat fixes om de buffer- en gegevensverwerkingskwetsbaarheden aan te pakken. Indien een onmiddellijke upgrade niet mogelijk is, overweeg dan tijdelijke mitigatiemaatregelen te implementeren, zoals het beperken van de maximale grootte van de POST-verzoekbody op uw server. Controleer en beveilig bovendien uw PPR-configuratie, zodat alleen geautoriseerde verzoeken toegang hebben tot het resume-endpoint. Het monitoren van het geheugengebruik van de server is essentieel om potentiële DoS-aanvallen te detecteren. Het implementeren van deze maatregelen helpt om de aanvalsoppervlakte te verkleinen en uw Next.js-applicatie te beschermen.
Actualice Next.js a la versión 15.6.0-canary.61 o superior, o a la versión 16.1.5 o superior. Esto corrige la vulnerabilidad de denegación de servicio causada por el manejo inseguro de datos en el endpoint PPR resume. Asegúrese de deshabilitar `experimental.ppr: true` o `cacheComponents: true` y eliminar la variable de entorno `NEXT_PRIVATE_MINIMAL_MODE=1` si no puede actualizar inmediatamente.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
PPR (Partial Prerendering) is een Next.js-functie die het mogelijk maakt om sommige routes aan de serverzijde en andere aan de clientzijde te renderen, waardoor de prestaties worden geoptimaliseerd. De kwetsbaarheid ligt in het PPR-resume endpoint, dat wordt gebruikt om het renderingproces te hervatten.
De minimale modus in Next.js is ontworpen om de prestaties te optimaliseren door de hoeveelheid code die aan de serverzijde wordt uitgevoerd te verminderen. In dit geval leidt deze optimalisatie echter tot een kwetsbaarheid.
Als u PPR in minimale modus gebruikt en niet bent geüpgraded naar versie 16.1.5 of hoger, is uw applicatie kwetsbaar.
Ja, u kunt de maximale grootte van de POST-verzoekbody beperken en uw PPR-configuratie controleren en beveiligen.
Controleer het geheugengebruik van de server, bekijk de serverlogs op verdachte activiteiten en upgrade naar Next.js versie 16.1.5 zo snel mogelijk.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.