next.js 存在缓存中毒漏洞(CVE-2024-46982)

免责声明:

本文旨在提供有关特定漏洞的深入信息，帮助用户充分了解潜在的安全风险。发布此信息的目的在于提升网络安全意识和推动技术进步，未经授权访问系统、网络或应用程序，可能会导致法律责任或严重后果。因此，作者不对读者基于本文内容所采取的任何行为承担责任。读者在使用本文信息时，必须严格遵循适用的法律法规及服务协议，自行承担一切风险与责任。如涉及侵权，请及时与我们联系，我们将尽快处理并删除相关内容。

0x01 产品介绍:

Next.js 是一个基于 React 的开源框架，由 Vercel（原 ZEIT）开发和维护。它主要用于构建现代化的前端应用和全栈应用，提供了服务器渲染（SSR）和静态网站生成（SSG）的能力，同时具有强大的性能优化和开发效率。

0x02 漏洞概述：

攻击者可以加载托管在他们自己服务器上的图像。即使攻击者停止了他们的 Ngrok 或 Apache 服务，这些自定义攻击者图像也会永久存储在受害者的网站上。

0x03 网络空间测绘:

fofa

app="NEXT.JS"