漏洞类型:Denial of Service, 拒绝服务。 CVE ID:CVE-2025-59472。 漏洞详情: - 存在于Next.js的Partial Prerendering(PPR)功能中。 - 当应用在minimal模式运行,且PPR开启时,PPR恢复端点会接收未经授权的POST请求,并处理攻击者控制的延迟状态数据。 - 该漏洞导致服务崩溃,通过内存耗尽实现。具体包括两个相关漏洞: - 未限定体积的请求体缓存:服务器利用 方法将整个POST请求体拉取至内存中,未施加任何容量限制,允许任意大的攻击负载耗尽可用内存。 - 未限定体积的解压缩(解压炸弹):恢复后的数据缓存使用 方法进行解压缩,而未限制解压后的输出大小。小型压缩负载可扩展至数百兆或千兆字节,导致内存耗尽。 - 两种攻击方式都会致使致命的V8内存溢出错误(致命错误:达到了堆内存分配失败 - JavaScript堆内存溢出),导致Node.js进程终止。解压炸弹尤为危险,因为它可以在绕过反向代理请求大小限制的同时在服务器上造成大量内存分配。 - 要受此漏洞影响,你的应用须在 或 配置下运行,并配合 环境变量使用。 - 强烈建议升级至 或 以降低风险,避免在Next.js应用中出现可用性问题。 受该漏洞影响的版本和已打补丁的版本: - 受影响的版本包括从15.0.0-canary.0到16.1.0-plus-canary versions在内的大量版本。 - 补丁已在对应的主要版本的迭代中修复了该漏洞,例如15.0.0修复了15.0.0-canary.0版本等,呈现固定关系。 安全评分: CVSS v3基本度量指标显示,威胁严重程度评分为5.9/10(中等);攻击向量:网络;攻击复杂度:高;特权需求:无;用户交互:无;范围:不变;机密性影响:无;完整性影响:无;可用性影响:高,细节如下: - CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H。 发布日期: - 这份报告由andr.rentvore四小时前发布,漏洞ID为GHSA-5fl79-q0jc-wplh。