Plataforma
nodejs
Componente
next
Corrigido em
11.1.1
11.1.0
A vulnerabilidade CVE-2021-37699 afeta o Next.js, um framework de desenvolvimento web open source baseado em React. Esta falha de redirecionamento aberto ocorre quando caminhos especialmente codificados são utilizados em conjunto com a geração estática de pages/_error.js, permitindo que um atacante redirecione usuários para um site externo. Embora não cause danos diretos, pode ser explorada para fins de phishing, aproveitando a confiança em um domínio legítimo.
Um atacante pode explorar esta vulnerabilidade para criar um ataque de phishing sofisticado. Ao redirecionar usuários de um domínio confiável para um site malicioso, o atacante pode induzir as vítimas a fornecer informações confidenciais, como credenciais de login ou dados de cartão de crédito. O impacto é amplificado em cenários onde o Next.js é usado para construir sites de alta confiança, como portais de e-commerce ou plataformas de serviços financeiros. A exploração bem-sucedida pode resultar em roubo de identidade, perdas financeiras e danos à reputação da organização.
A vulnerabilidade foi divulgada publicamente em 12 de agosto de 2021. Não há evidências de exploração ativa em larga escala no momento. A vulnerabilidade não está listada no KEV (CISA Known Exploited Vulnerabilities) e a pontuação EPSS (Exploit Prediction Scoring System) ainda não foi determinada. Consulte o aviso oficial do Next.js para obter mais informações.
Organizations and developers using Next.js for website development, particularly those relying on the pages/_error.js file for error handling and static generation, are at risk. Shared hosting environments where multiple applications share the same server and configuration are also potentially vulnerable if they are running affected versions of Next.js.
• nodejs / server:
find /path/to/nextjs/pages/ -name _error.js -print• generic web:
curl -I https://your-nextjs-app.com/malicious-redirect | grep Location• generic web: Inspect access logs for requests containing suspicious redirect URLs (e.g., containing encoded characters or unusual domain names).
disclosure
Status do Exploit
EPSS
0.43% (percentil 62%)
Vetor CVSS
A mitigação primária é atualizar o Next.js para a versão 11.1.0 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de proteção adicionais. Valide e sanitize rigorosamente todos os parâmetros de URL antes de usá-los em redirecionamentos. Implemente políticas de segurança de conteúdo (CSP) para restringir os domínios para os quais o redirecionamento é permitido. Monitore logs de acesso em busca de padrões suspeitos de redirecionamento.
Atualize Next.js para a versão 11.1.0 ou superior. Isso corrigirá a vulnerabilidade de redirecionamento aberto. Você pode atualizar usando npm ou yarn.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2021-37699 is a vulnerability in Next.js allowing attackers to redirect users to malicious sites via specially crafted URLs, potentially leading to phishing attacks. It affects versions 10.0.5-10.2.0 and 11.0.0-11.0.1.
You are affected if you are using Next.js versions 10.0.5 through 10.2.0 or 11.0.0 through 11.0.1 and utilizing pages/_error.js without proper input validation.
Upgrade to Next.js version 11.1.0 or later to resolve the vulnerability. As a temporary workaround, implement a WAF rule to block suspicious redirects.
There is currently no evidence of CVE-2021-37699 being actively exploited in the wild.
Refer to the Next.js security advisory: https://github.com/vercel/next.js/security/advisories/GHSA-5g9j-844x-993c
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.