15.0.0
15.0.1
15.0.2
15.0.3
15.0.4
15.1.0
15.1.1
15.1.2
15.1.3
15.1.4
15.1.5
15.1.6
15.1.7
15.2.0
15.2.1
15.2.2
15.2.3
15.2.4
15.2.5
15.3.0
15.3.1
15.3.2
15.1.8
15.3.3
15.4.0
15.3.4
15.3.5
15.4.1
15.4.2
15.4.3
15.4.4
15.4.5
15.4.6
15.4.7
15.5.0
15.5.1
15.5.2
15.5.3
15.5.4
15.5.5
15.5.6
15.5.7
15.4.8
15.1.9
15.0.5
15.3.6
15.2.6
15.5.8
15.4.9
15.3.7
15.2.7
15.1.10
15.0.6
15.5.9
15.4.10
15.3.8
15.2.8
15.1.11
15.0.7
16.1.5
15.6.1
16.1.6
15.6.0-canary.61
16.1.5
CVE-2025-59472 是 Next.js 应用中 Partial Prerendering (PPR) 模式下的一种拒绝服务漏洞。攻击者可以通过发送包含恶意数据的未认证 POST 请求来耗尽服务器内存,导致服务器进程崩溃。此漏洞影响到启用了 PPR 并在 minimal 模式下运行的 Next.js 版本。目前已发布修复版本 16.1.5。
CVE-2025-59472 影响使用 Partial Prerendering (PPR) 的 Next.js 应用,当以最小模式运行时。它允许攻击者通过利用 PPR 恢复端点来发起拒绝服务 (DoS) 攻击。该端点接受带有 Next-Resume: 1 标头的未认证 POST 请求,并处理攻击者控制的延迟状态数据。此漏洞表现为两个相关问题:首先,POST 请求正文的无限制缓冲,导致过度消耗内存。其次,对这些数据的处理效率低下,导致内存耗尽并最终导致服务器进程崩溃。CVSS 严重性评级为 5.9,表明存在中等风险。升级到版本 16.1.5 对于减轻此风险至关重要。
攻击者可以通过向 PPR 恢复端点发送带有非常大的请求正文或旨在消耗大量内存的延迟状态数据的恶意 POST 请求来利用此漏洞。由于该端点不需要身份验证,因此任何具有网络访问权限的人都可以尝试利用此漏洞。Next.js 中的最小模式旨在优化性能,但在这种情况下,它成为了攻击向量。成功利用会导致拒绝服务,从而阻止服务器处理合法请求并影响应用程序可用性。恢复端点缺乏身份验证是使这种利用成为可能的关键因素。
Applications utilizing Next.js with Partial Prerendering (PPR) enabled in minimal mode are at risk. This includes deployments where PPR is used to improve initial load times and SEO, particularly those running in production environments with limited resource constraints. Shared hosting environments using Next.js are also potentially vulnerable.
• nodejs / server:
ps aux | grep -i nextjs• nodejs / server:
journalctl -u nextjs | grep -i "Buffer.concat"• nodejs / server:
curl -v -X POST -H 'Next-Resume: 1' --data-binary @/dev/null https://your-nextjs-app.com/resume | head -n 20disclosure
漏洞利用状态
EPSS
0.09% (25% 百分位)
CISA SSVC
CVSS 向量
减轻 CVE-2025-59472 的主要解决方案是升级到 Next.js 版本 16.1.5 或更高版本。此版本包含修复程序,以解决缓冲和数据处理漏洞。如果无法立即升级,请考虑实施临时缓解措施,例如限制服务器上 POST 请求正文的最大大小。此外,请审查并保护您的 PPR 配置,确保仅授权请求才能访问恢复端点。监控服务器内存使用情况对于检测潜在的 DoS 攻击至关重要。实施这些措施将有助于减少攻击面并保护您的 Next.js 应用程序。
Actualice Next.js a la versión 15.6.0-canary.61 o superior, o a la versión 16.1.5 o superior. Esto corrige la vulnerabilidad de denegación de servicio causada por el manejo inseguro de datos en el endpoint PPR resume. Asegúrese de deshabilitar `experimental.ppr: true` o `cacheComponents: true` y eliminar la variable de entorno `NEXT_PRIVATE_MINIMAL_MODE=1` si no puede actualizar inmediatamente.
漏洞分析和关键警报直接发送到您的邮箱。
PPR (Partial Prerendering) 是 Next.js 的一项功能,它允许在服务器端渲染某些路由,而在客户端渲染其他路由,从而优化性能。此漏洞位于 PPR 恢复端点中,该端点用于恢复渲染过程。
Next.js 中的最小模式旨在通过减少服务器端执行的代码量来优化性能。但是,在这种情况下,这种优化会暴露一个漏洞。
如果您正在使用最小模式下的 PPR 并且尚未升级到版本 16.1.5 或更高版本,则您的应用程序容易受到攻击。
是的,您可以限制 POST 请求正文的最大大小,并审查和保护您的 PPR 配置。
监控服务器内存使用情况,检查服务器日志中是否存在可疑活动,并尽快升级到 Next.js 版本 16.1.5。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。