🌍 Привет мир! 👋🏻
🌍 Привет мир! 👋🏻
Внимание всем разработчикам у которых есть проекты на Next.js! 📣 Не так давно появилась критическая уязвимость в Next.js middleware, позволяющая обойти авторизацию с помощью специально созданного HTTP-запроса, содержащего внутренний заголовок x-middleware-subrequest.
🔥 В чем сок проблемы?
Middleware обычно используется для проверки авторизации, ограничения доступа, изменения входящих запросов или логирования. Однако уязвимость связана с некорректной обработкой заголовка x-middleware-subrequest, который предназначен для внутренних целей Next.js и обычно не должен использоваться внешними запросами. Злоумышленник может отправить запрос, содержащий этот заголовок, и обойти проверки безопасности, выполняемые middleware.
⚙️ Как именно осуществляется атака?
Если отправить специально сформированный запрос с заголовком
🔖 Практический пример запроса:
При таком запросе middleware ошибочно пропускает проверку авторизации, что позволяет получить доступ к административным ресурсам без соответствующих прав.
Команда из Datadog Security создала образец уязвимого приложения как доказательство по этой уязвимости.
✏️ Что имеем в итоге?
- Несанкционированный доступ к конфиденциальным и защищенным ресурсам;
- Потенциальная утечка или изменение чувствительных данных;
- Возможность последующих атак и компрометации инфраструктуры.
✔️ Как защититься?
Обновите Next.js до исправленной версии как можно скорее
💡 Как проверить текущую версию Next.js?
или через консоль разработчика в браузере
☀️ Рекомендации:
📌 Регулярно проверяйте и обновляйте зависимости;
📌 Внедряйте дополнительные уровни защиты, например, мониторинг и аудит логов;
📌 Настраивайте автоматические уведомления о новых уязвимостях.
💬 Делитесь своим мнением в комментариях👇! Если вам понравилась статья, не забудьте поставить лайк! 👍
#SECURITY
Внимание всем разработчикам у которых есть проекты на Next.js! 📣 Не так давно появилась критическая уязвимость в Next.js middleware, позволяющая обойти авторизацию с помощью специально созданного HTTP-запроса, содержащего внутренний заголовок x-middleware-subrequest.
🔥 В чем сок проблемы?
Middleware обычно используется для проверки авторизации, ограничения доступа, изменения входящих запросов или логирования. Однако уязвимость связана с некорректной обработкой заголовка x-middleware-subrequest, который предназначен для внутренних целей Next.js и обычно не должен использоваться внешними запросами. Злоумышленник может отправить запрос, содержащий этот заголовок, и обойти проверки безопасности, выполняемые middleware.
⚙️ Как именно осуществляется атака?
Если отправить специально сформированный запрос с заголовком
x-middleware-subrequest, middleware может пропустить проверку и обработать запрос как внутренний, что позволяет злоумышленнику сразу получить доступ к защищенным ресурсам без аутентификации.🔖 Практический пример запроса:
GET /admin/dashboard HTTP/1.1
Host: vulnerable-nextjs-app.com
x-middleware-subrequest: middlewareПри таком запросе middleware ошибочно пропускает проверку авторизации, что позволяет получить доступ к административным ресурсам без соответствующих прав.
Команда из Datadog Security создала образец уязвимого приложения как доказательство по этой уязвимости.
✏️ Что имеем в итоге?
- Несанкционированный доступ к конфиденциальным и защищенным ресурсам;
- Потенциальная утечка или изменение чувствительных данных;
- Возможность последующих атак и компрометации инфраструктуры.
✔️ Как защититься?
Обновите Next.js до исправленной версии как можно скорее
💡 Как проверить текущую версию Next.js?
npm list nextили через консоль разработчика в браузере
next.version☀️ Рекомендации:
📌 Регулярно проверяйте и обновляйте зависимости;
📌 Внедряйте дополнительные уровни защиты, например, мониторинг и аудит логов;
📌 Настраивайте автоматические уведомления о новых уязвимостях.
💬 Делитесь своим мнением в комментариях👇! Если вам понравилась статья, не забудьте поставить лайк! 👍
#SECURITY
Хотите больше таких постов?
Подпишитесь на канал и читайте продолжение в Telegram.