LOWCVE-2025-49005CVSS 3.7

Next.js 存在 Vary 头缺失导致的缓存中毒 (Cache poisoning) 漏洞

Q: CVE-2025-49005 是什么 — next 中的漏洞？

这是一个Next.js App Router缓存中毒漏洞，允许攻击者通过中间件和重定向错误地缓存RSC负载，替代HTML内容。

Q: next 中的 CVE-2025-49005 是否会影响我？

如果您正在使用Next.js App Router版本 >=15.3.0和<15.3.3，则可能受到影响。

Q: 如何修复 next 中的 CVE-2025-49005？

立即升级到Next.js 15.3.3或更高版本，并重新部署应用程序。

Q: CVE-2025-49005 是否正在被积极利用？

目前尚未发现大规模利用，但建议密切关注安全动态。

Q: 在哪里可以找到 next 关于 CVE-2025-49005 的官方安全通告？

请参考Vercel的变更日志：[CVE-2025-49005](https://vercel.com/changelog/cve-2025-49005)

平台

nodejs

组件

修复版本

15.3.1

15.3.3

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年5月

在NVD查看

保存

CVE-2025-49005描述了Next.js App Router中存在的缓存中毒问题。在特定条件下，攻击者可能利用中间件和重定向，导致RSC（React Server Components）负载被错误地缓存并替代HTML内容。此漏洞影响Next.js App Router >=15.3.0和<15.3.3版本，已在Next.js 15.3.3版本中修复。建议用户立即升级并重新部署。

影响与攻击场景

该缓存中毒漏洞允许攻击者通过精心构造的中间件和重定向规则，将恶意RSC负载注入到缓存中。当用户访问受影响的页面时，他们可能会收到攻击者控制的RSC内容，而不是预期的HTML内容。这可能导致跨站脚本攻击（XSS）、信息泄露或其他恶意行为。攻击者可以利用此漏洞篡改网站内容，诱骗用户执行恶意操作，或窃取敏感信息。虽然CVSS评分为低危，但该漏洞的潜在影响不容忽视，尤其是在高流量网站或应用程序中。

利用背景

CVE-2025-49005已于2025年7月3日发布。目前，该漏洞的公开利用代码（POC）尚未广泛传播，但由于其潜在影响，应予以高度关注。EPSS（Exploit Prediction Score System）的评分可能为中等或较高，表明该漏洞可能被积极利用。建议密切关注安全社区的动态，并及时采取必要的安全措施。

哪些人处于风险中翻译中…

Organizations using Next.js App Router versions 15.3.0 through 15.3.2 are at risk. This includes developers building server-rendered React applications and those relying on Next.js's caching mechanisms for performance optimization. Applications with complex middleware configurations or extensive use of redirects are particularly vulnerable.

检测步骤翻译中…

• nodejs / server: Inspect Next.js application logs for unusual caching patterns or errors related to RSC rendering.

 grep -i 'rsc' /path/to/nextjs/logs/app.log

• nodejs / server: Monitor application performance for unexpected delays or errors that could indicate malicious RSC payloads being served. • generic web: Check response headers for unexpected caching directives or unusual content-types. • generic web: Review application code for any custom middleware or redirect configurations that might be contributing to the vulnerability.

攻击时间线

2025-07-03Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

NextGuard67% 仍然脆弱

EPSS

0.13% (32% 百分位)

CISA SSVC

利用情况poc

可自动化no

技术影响partial

受影响的软件

组件next

供应商osv

影响范围修复版本

>= 15.3.0, < 15.3.3 – >= 15.3.0, < 15.3.315.3.1

15.3.015.3.3

弱点分类 (CWE)

CWE-444

时间线

已保留2025-05-29
发布日期2025-07-03
修改日期2026-02-04
EPSS 更新日期2026-03-23

披露后-34天发布补丁

缓解措施和替代方案

解决CVE-2025-49005的最佳方法是立即升级到Next.js 15.3.3或更高版本。升级后，务必重新部署应用程序，以确保缓存行为恢复正常。如果升级过程导致应用程序出现问题，可以考虑回滚到之前的稳定版本，并同时审查中间件和重定向配置，确保其安全性。此外，可以考虑使用Web应用防火墙（WAF）或反向代理来过滤恶意请求，并实施严格的缓存控制策略，以减少缓存中毒的风险。升级后，请验证缓存行为是否正常，例如通过清除浏览器缓存并重新访问受影响的页面。

修复方法翻译中…

Actualice Next.js a la versión 15.3.3 o superior. Esto corrige la vulnerabilidad de envenenamiento de caché causada por la omisión del encabezado Vary. La actualización asegura que las respuestas HTML y los payloads de React Server Component (RSC) se manejen correctamente en la caché.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2025-49005 是什么 — next 中的漏洞？